Créer un profil pour Microsoft Azure Sentinel

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Créez un profil d’incident dans votre Now Platform instance et déterminez les Microsoft Azure Sentinel incidents qui conviennent à la création d’incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    L’intégration vous permet de créer différents types d’incidents, tels que les tentatives d’accès non autorisé et les programmes malveillants. Ces incidents sont créés en fonction des profils que vous configurez dans l’instance Now Platform . Tous les incidents sont initialement créés pour un type d’incident configuré dans un profil. Les incidents créés peuvent ensuite être filtrés pour spécifier quels incidents créent des incidents de sécurité.

    Tous les incidents qui répondent aux critères de sélection de votre Microsoft Azure locataire et qui sont disponibles via l’API Microsoft Azure Sentinel sont initialement ingérés dans votre Now Platform instance.

    Procédure

    1. Accédez à la Tout > Intégration de Microsoft Azure Sentinel > Profil d'incident Azure Sentinel.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Microsoft Azure Sentinel - Formulaire de configuration de l’ingestion d’incidents
      Champ Description
      Nom

      Nom du profil.

      Ce nom vous aide à identifier le type de profil et est également le nom par défaut de la balise de sécurité associée à ce profil.
      Actif

      Indicateur indiquant que le profil est actif.

      Lorsque le profil est actif, cela implique que le Now Platform interroge activement les incidents Azure Sentinel et que les incidents de sécurité correspondants sont créés SIR lorsque les conditions de filtrage sont remplies.
      Source Microsoft Azure locataire que vous avez configuré pour ingérer des incidents. Si vous avez configuré plusieurs locataires, sélectionnez le locataire approprié pour les types d’incidents que vous prévoyez d’ingérer pour le profil.
      Ordre

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux doté du numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      La valeur par défaut est 100.
      Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.
    4. Pour accéder à la section Mappage, cliquez sur Continuer.

    Que faire ensuite

    Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident de Now Platform SIR sécurité.