Modificar regras de arquivamento para observáveis

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Modifique regras de arquivamento para observáveis e também exiba uma estimativa do número de registros afetados pela regra.

    Antes de Iniciar

    Função necessária: sn_sec_tisc.admin

    Por Que e Quando Desempenhar Esta Tarefa

    As regras de arquivamento de amostra estão inativas por padrão.

    A opção historicamente significativa e a condição devem sempre ser definidas como Falso para observáveis, indicadores, registros relacionados e objetos. Ao definir esta opção como falso, você pode arquivar os registros, mas se esta opção estiver definida como verdadeiro, isso significa que você não pode arquivar os registros, independentemente da definição de regras.

    Procedimento

    1. Navegar até Tudo > Arquivamento do Sistema > Regras de Arquivamento.
      A lista de regras de arquivamento aplicáveis ao TISC é exibida. Essas regras de arquivamento são diferentes para cada tipo de objeto e são aplicáveis independentemente.
    2. Selecione qualquer regra de arquivamento.
      Por exemplo, selecione o registro Observável de diretório para ver a regra de arquivamento do sistema de base.
    3. Clique em Adicionar condição de filtro .
    4. Selecione Historicamente significativo e defina a condição como Falso .
      Ao definir esta opção como falso, você pode arquivar os registros, mas se esta opção estiver definida como verdadeiro, isso significa que você não pode arquivar os registros, independentemente da definição de regras.
    5. Neste exemplo, defina o status do observável como inativo e o tempo de expiração é 2 anos.
      Isso significa que o registro do observável pode ser arquivado quando o status é inativo e o período de expiração desse observável é definido como 2 anos e, portanto, qualquer coisa anterior a esse período a partir da data atual será arquivada.
      Nota:
      Cada regra de arquivamento é acionada a cada hora, portanto, qualquer mudança na regra é modificada a partir do horário do trabalho agendado. Se você quiser executar o trabalho explicitamente e não quiser aguardar até que o trabalho seja agendado, poderá modificá-lo de acordo. Siga as etapas abaixo.
    6. Navegar até Links relacionados > Recalcular estimativa.

      A estimativa do registro foi recalculada e atualizada com o valor estimado.

      Nota:
      Se o valor de estimativa de registro for 0, os registros não serão arquivados, mas se o valor de estimativa de registro for 1, a aplicação identificará esse valor e esse registro será arquivado.
    7. Selecione Executar Arquivar agora .
    8. Vá para Execução de arquivamento seção abaixo para verificar seu processo de execução de arquivamento.
      Nota:
      Você notará que o número total de registros arquivados é apenas um registro, pois o valor estimado do registro também é um.
    9. Navegar até Biblioteca de informações sobre ameaças > Observáveis.
    10. PESQUISE o registro arquivado.
      O registro deve ter sido arquivado e não exibirá os resultados quando você pesquisar o registro.
      Nota:
      • Como parte das regras de arquivamento do TISC, todos os registros de origem e relacionados listados como parte dos registros relacionados arquivados também serão arquivados junto com o registro observável agregado. Você pode detalhar a seção de log de arquivamento para ver a lista de registros arquivados que foram executados automaticamente em segundo plano e exibidos nesta seção.
      • Se você quiser exibir o registro arquivado, pesquise o registro dentro dessa tabela relacionada. Ao mesmo tempo, você também pode verificar seu registro arquivado navegando até Arquivamento do Sistema > Log de Arquivamento. Isso exibe o número de registros arquivados.