オンデマンドのアトミックなロールアップを実行する
ロールアップフレームワークは、既存のリンクされたレコードの更新を処理できません。このような場合、リンクされたレコードに対してオンデマンドのアトミックなロールアップが発生する必要があります。この動作はビジネスルールを介して実行できます。
リンクされたレコードの更新をキャプチャするには、ソーステーブルでビジネスルールを作成する必要があります。
作成したビジネスルールは、挿入、更新、および削除の操作の際に機能します。挿入または更新を実行する際は、ロールアップされた情報を MSI に追加または更新する必要があります。削除すると、ロールアップされた情報は MSI から削除されます。
たとえば、セキュリティインシデントが MSI にリンクされると、関連情報が自動的に MSI にロールアップされます 。ただし、後から MSIに新しい観測事象を追加すると、新しく追加された観測事象も MSI にロールアップされます。ここでは、「ロールアップされた観測事象を同期 (Sync rolled up observable)」というビジネスルールで更新をキャプチャし、更新されたレコードを MSI にロールアップします。同様に、既存のロールアップされた観測事象がセキュリティインシデントから削除された場合、同じビジネスルールでその削除も処理します。
| ルール | 説明 |
|---|---|
| ロールアップされたインジケーターを同期 (Sync rolled up indicator) (sn_ti_m2m_task_indicator) | このビジネスルールを使用して、セキュリティインシデント、セキュリティケース、および修復タスクからの、セキュリティ侵害のインジケーターのロールアップと削除を処理します。 |
| ロールアップされた観測事象を同期 (Sync rolled up observable) (sn_ti_m2m_task_observable) | このビジネスルールを使用して、セキュリティインシデント、セキュリティケース、および修復タスクからの、リンクされた観測事象のロールアップと削除を処理します。 |
| 影響を受けるユーザーの同期 (Sync rolled up affected user) (sn_si_m2m_task_affected_user) | このビジネスルールを使用して、セキュリティインシデント、セキュリティケース、および修復タスクからの、影響を受けるリンクされたユーザーのロールアップと削除を処理します。 |
| 影響を受けるロールアップされた CI の同期 (Sync rolled up affected CI) (task_ci) | このビジネスルールを使用して、セキュリティインシデント、セキュリティケース、および修復タスクからの、関連する構成アイテムのロールアップと削除を処理します。 |