Règles d’expiration pour les enregistrements sources

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 1 minute de lecture

    • Les règles d’expiration sont essentiellement utiles pour définir le délai d’expiration des enregistrements sources. L’enregistrement agrégé hérite du délai d’expiration le plus élevé de ses enregistrements sources correspondants.

    Comment les règles sont appliquées

    Le type d’enregistrement source entrant est un programme malveillant provenant du type de source de données CrowdStrike

    Processus d’évaluation de règle basé sur les règles fournies pour l’application des délais d’expiration aux enregistrements sources :
    1. Extrayez toutes les règles activées : L’application commence par vérifier toutes les règles qui sont actuellement activées.
    2. Rechercher une combinaison de règles spécifique :

      Recherchez une règle qui correspond spécifiquement à la combinaison des éléments suivants :

      • Type de source de données : CrowdStrike
      • Type des enregistrements : Programme malveillant
    3. Priorité basée sur les combinaisons de règles de correspondance :

      S’il existe une règle dans laquelle le type de source de données est CrowdStrike et le type d’enregistrement est Programme malveillant, cette règle a priorité. Le délai d’expiration spécifié dans cette règle sera appliqué.

    4. Règles de secours :
      1. Si aucune règle ne correspond à la combinaison CrowdStrike et Malware , le système recherche une règle dans laquelle le type de source de données est CrowdStrike et le type d’enregistrement est Tous.
      2. Si aucune règle n’est trouvée, il recherche alors une règle où le type de source de données est Tous et le type d’enregistrement est Programme malveillant.
      3. Enfin, si aucune des règles ci-dessus n’existe, la règle est définie par défaut sur une règle dans laquelle le type de source de données et le type d’enregistrement sont Toutes.
    5. Si aucune de ces règles n’existe dans le système, aucune règle d’expiration n’est alors appliquée aux enregistrements sources. Dans ce cas, accédez à la table ci-dessous (illustrée dans la capture d’écran) pour vérifier la combinaison de règles qui a été appliquée aux objets.

      Règles d’expiration pour les enregistrements sources.

    6. Suppression des sources de données :

      Supposons qu’une source de données à laquelle les règles d’expiration sont associées soit supprimée, la suppression peut être restreinte ou non autorisée jusqu’à ce que ces règles soient résolues. Cela permet de s’assurer qu’il n’y a pas d’incohérences dans l’application des politiques d’expiration.