Passer en revue les paramètres d’intégration Microsoft Azure Sentinel

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Examinez les paramètres d’intégration Microsoft Azure Sentinel afin de pouvoir adapter les propriétés système à votre environnement.

    Avant de commencer

    Important :

    Microsoft a prolongé l’obsolescence de l’expérience Azure Sentinel dans le portail Azure de mars 2026 à mars 2027.

    Si vous utilisez actuellement l’intégration d’Azure Sentinel avec Réponse aux incidents de sécurité (SIR), nous vous recommandons fortement de migrer vers la nouvelle intégration du portail Defender dès que possible. L’intégration de Defender inclut un utilitaire de migration intégré qui convertit automatiquement vos profils Sentinel existants en profils Defender, tout en assurant la continuité des incidents créés via Sentinel après la transition. Pour plus d’informations, consultez le Guide de migration de Microsoft Sentinel vers Defender.

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Procédure

    1. Accédez à la Tous > Intégration de Microsoft Azure Sentinel > Paramètres de l'intégration d'Azure Sentinel.
    2. Modifiez les paramètres suivants selon vos besoins.
      Tableau 1. Microsoft Azure Sentinel Paramètres d’intégration
      Nom de la propriété Description
      Appliquez une limite au nombre de jours pour lesquels des données d’échantillon peuvent être extraites.

      sn_sec_sentinel.max_nombre_de_jours_pour_les_données_de_l’échantillon

      		 Nombre maximal de jours pour lesquels vous pouvez extraire des exemples de données de l’environnement Microsoft Azure Sentinel .

      Type : nombre entier

      Valeur par défaut : 7
      Recevez des mises à jour relatives aux nouvelles alertes liées à SIR.

      sn_sec_sentinel.incident_updates

      Activez l'option pour recevoir les mises à jour des incidents.

      Type : booléen

      Valeur par défaut : true
      Caractère du délimiteur pour diviser les valeurs dans Microsoft Azure Sentinel les mappages de champs.

      sn_sec_sentinel.délimiteur

      		 Caractère du délimiteur pour diviser les valeurs dans Microsoft Azure Sentinel les mappages de champs.

      Type : chaîne

      Valeur par défaut : ', ' (virgule avec espace)
      Appliquer une limite au nombre d’échantillons d’incidents qui peuvent être extraits.

      sn_sec_sentinel.max_num_of_sample_incident_per_call

      Nombre maximal d’échantillons d’incidents que vous extrayez de l’environnement pour l’ingestion Microsoft Azure Sentinel .

      Type : nombre entier

      Valeur par défaut : 5

      Valeur maximale de l’échantillon : 20
      Appliquez une limite au nombre d’incidents sentinelles qui peuvent être regroupés en un seul incident.

      sn_sec_sentinel.max_agrégations_per_si

      Limite d’agrégation d’incidents pour un incident de sécurité. Par exemple, s’il y a 102 incidents, les 100 premiers sont agrégés aux incident_1 de sécurité et les 2 autres aux incident_2 de sécurité.

      Type : nombre entier

      Valeur par défaut : 100
      Appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures.

      sn_sec_sentinel.max_si_per_day

      Nombre maximal d’incidents de sécurité qui peuvent être créés dans un délai de 24 heures dans le ServiceNow AI Platform.

      Type : nombre entier

      Valeur par défaut : 1 000
      Limite maximale de pagination pour l’extraction des données d’incident dans un appel REST.

      sn_sec_sentinel.max_taille_page

      Limite de pagination pour l’extraction des données d’incident dans un appel REST à partir de l’environnement Microsoft Azure Sentinel .

      Type : nombre entier

      Valeur par défaut : 100
      Valeur de version d’API pour les incidents.

      sn_sec_sentinel.sentinel_security_incident_api_version

      		 Version de l’API Microsoft pour la récupération des incidents Sentinel.

      Valeur par défaut : 01/10/2021
      Valeur de version de l’API pour les alertes.

      sn_sec_sentinel.sentinel_security_alert_api_version

      		 Version de l’API Microsoft pour la récupération des alertes Sentinel.

      Valeur par défaut : 01/10/2021
      Valeur de version de l’API pour les entités.

      sn_sec_sentinel.sentinel_security_entities_api_version

      		 Version de l’API Microsoft pour la récupération des entités Sentinel.

      Valeur par défaut : 01/10/2021

      sn_sec_sentinel.logging.verbosité

      		 Niveau de verbosité du journal de l’application, c’est-à-dire nom du type d’information. Vous pouvez également mettre à jour la valeur selon les options suivantes :
      • erreur
      • avertir
      • infos
      • déboguer

      Valeur par défaut : info.
    3. Cliquez sur Enregistrer.
      Vos paramètres d’intégration modifiés sont appliqués dans l’intervalle d’interrogation suivant, tel que défini dans le profil.