観測事象のアーカイブルールの変更

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • 観測事象のアーカイブルールを変更し、ルールの影響を受けるレコードの推定数も表示します。

    始める前に

    必要なロール:sn_sec_tisc.admin

    このタスクについて

    デフォルトでは、サンプルアーカイブルールは非アクティブです。

    観測事象、インジケーター、関連レコード、およびオブジェクトに対して、[履歴上有意 (Historically Significant)] オプションと条件は常に [False] に設定する必要があります。このオプションを False に設定すると、レコードをアーカイブできますが、このオプションが True に設定されている場合は、ルール定義に関係なくレコードをアーカイブできなくなります。

    手順

    1. 次のように移動する。 All (すべて) > システムアーカイブ > アーカイブルール.
      TISC に適用可能なアーカイブルールのリストが表示されます。これらのアーカイブルールはオブジェクトタイプごとに異なり、個別に適用されます。
    2. 任意のアーカイブルールを選択します。
      たとえば、[ディレクトリ観測事象レコード] を選択すると、ベースシステムのアーカイブルールが表示されます。
    3. [フィルター条件の追加] をクリックします。
    4. [履歴上有意 (Historically Significant)] オプションを選択し、条件を [False] に設定します。
      このオプションを False に設定すると、レコードをアーカイブできますが、このオプションが True に設定されている場合は、ルール定義に関係なくレコードをアーカイブできなくなります。
    5. この例では、観測事象の [ステータス] を [非アクティブ] に設定し、[有効期限] を 2 年に設定します。
      つまり、ステータスが非アクティブで、その観測事象の有効期限が 2 年に設定されている場合、観測事象レコードをアーカイブできるため、現在の日付からその期間より前の期間はすべてアーカイブされます。
      注:
      すべてのアーカイブルールは 1 時間ごとにトリガーされるため、ルールの変更はスケジュール済みジョブの時間から変更されます。ジョブを明示的に実行し、ジョブがスケジュールされるまで待機したくない場合は、それに応じて変更できます。以下の手順に従ってください。
    6. 次のように移動する。 関連リンク > 見積りの再計算.

      レコード推定が再計算され、推定値で更新されました。

      注:
      レコード推定値が 0 の場合、レコードはアーカイブされませんが、レコード推定値が 1 の場合、アプリケーションがその値を識別し、その 1 つのレコードがアーカイブされます。
    7. [アーカイブ化を今すぐ実行] を選択します。
    8. 以下の [アーカイブ実行] セクションに移動して、アーカイブ実行プロセスを確認します。
      注:
      レコード推定値も 1 であるため、アーカイブされるレコードの合計数は 1 レコードのみであることがわかります。
    9. 次のように移動する。 脅威インテリジェンスライブラリ > 観察事項.
    10. アーカイブされたレコードを検索します。
      レコードはアーカイブされている必要があり、レコードを検索しても結果は表示されません。
      注:
      • TISC アーカイブルールの一環として、アーカイブされた関連レコードの一部としてリストされているすべてのソースとその関連レコードも、集計された観測事象レコードとともにアーカイブされます。[アーカイブログ] セクションにドリルダウンすると、バックグラウンドで自動的に実行され、このセクションに表示されたアーカイブ済みレコードリストを表示できます。
      • アーカイブ済みレコードを表示する場合は、その関連テーブル内のレコードを検索します。同時に、次の場所に移動して、アーカイブされたレコードを確認することもできます システムアーカイブ > アーカイブログ. アーカイブされたレコードの数が表示されます。