Créer des règles de duplication dans Opérations de sécurité

Rversion finale: Zurich

Mis à jour 31 juil. 2025

3 minutes de lecture

Vous pouvez les utiliser Règles de duplication pour identifier les nouveaux e-mails, les données d’enrichissement ou les cartes de champs contenant des enregistrements en double actifs et les traiter de manière appropriée.

Avant de commencer

Rôle requis : sn_sec_cmn.write

Procédure

Accédez à la Tous > Security Operations > Règles de duplication.
Cliquez sur Nouveau.

Renseignez les champs du formulaire, selon vos besoins :

Tableau 1. Règle de duplication
Champ	Description
Nom	Nom de la règle de duplication.
Table	Table où les enregistrements sont créés et utilisés pour déterminer les doublons.
Identification des champs	Sélectionnez un ensemble de champs qui indiquent un incident de sécurité, un observable, une vulnérabilité, etc., lorsque les valeurs de ces champs sont identiques.
Action relative à la duplication	Régit la façon de gérer les e-mails en double. Les choix possibles sont les suivants : Créer en tant qu'enfant Crée un enregistrement en tant qu’enfant de l’original. Le champ liant l’enfant au parent est le champ Parent. Ne pas créer ni mettre à jour des enregistrements (par défaut) Ne fait rien. Ignore les doublons. Mettre à jour l'enregistrement en double Met à jour les champs dans l’enregistrement existant tel que spécifié dans Actions de duplication. Remarque : Si vous choisissez Mettre à jour l’enregistrement en double, la liste connexe Actions de duplication s’affiche.
Actif	Cochez cette case pour activer la règle.
Description	Décrit le but et l’application de cette règle de duplication ; quand il doit être utilisé, par exemple une règle conçue pour les observables basés sur IP ou les incidents de sécurité du pare-feu.

Cliquez avec le bouton droit dans l’en-tête de l’enregistrement et sélectionnez Enregistrer ou cliquez sur Mettre à jour.
Pour définir des actions de duplication, si vous avez choisi Mettre à jour l’enregistrement en double, cliquez sur Nouveau pour créer des actions de duplication pour chaque champ que vous souhaitez mettre à jour dans l’incident.

Remplissez ou modifiez les champs du formulaire pour décrire la façon de mettre à jour le champ :

Tableau 2. Actions de duplication
Champ	Description
Champ	Le nom du champ à utiliser pour l’action de duplication.
Action	Les actions prises en charge varient selon le type de champ. Les choix possibles sont les suivants : Mettre à jour ce champ avec la nouvelle valeur Remplace la valeur précédente dans l’enregistrement existant par cette valeur. Ajouter la nouvelle valeur à une liste séparée par des virgules, si elle est unique Traite la valeur comme une entrée dans une liste séparée par des virgules et ajoute les nouvelles données (le cas échéant) comme nouvelle entrée dans cette liste. Si les données figurent déjà dans la liste, elles ne sont pas ajoutées deux fois. Ajouter la nouvelle valeur à ce champ Ajoute la nouvelle valeur à la fin du texte existant dans le champ. Ajouter un à un champ de compteur Ajoute un au champ numérique. Définir le champ à la date d'aujourd'hui Définit le champ à la date et à l’heure actuelles. Ajouter à la liste connexe Ajoute l’enregistrement connexe avec cette valeur à la liste connexe de l’enregistrement actuel. Apparaît lorsqu’il existe une table de plusieurs à plusieurs, avec une colonne du même type, liée à la table en cours de mise à jour. Par exemple, CI affecté ou Utilisateur affecté.
Relation	[Facultatif] Ce champ s’affiche uniquement lorsque l’action Ajouter à la liste connexe est choisie. Il s’agit du nom de la liste connexe que vous souhaitez associer à cette règle.
Règle de duplication	Règle à laquelle cette action fait partie.
Table	Table où les enregistrements sont créés. S’affiche à titre d’information uniquement.
Actif	Cochez cette case pour activer l’action.

Cliquez sur Envoyer.