Programar a Microsoft Azure Sentinel recuperação de incidentes

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e ingerir os Microsoft Azure Sentinel incidentes que correspondem aos critérios no perfil.

    Antes de Iniciar

    Função necessária: sn_sni.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar com que frequência deseja pesquisar futuros Microsoft Azure Sentinel incidentes que correspondam à configuração do perfil de incidente.

    Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. Para definir uma data e hora específicas para a ingestão inicial, habilite definir tempo de ingestão do incidente. A ingestão subsequente é baseada no período de intervalo de pesquisa.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho da integração de incidentes Microsoft Azure Sentinel. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente. Um valor padrão de um minuto é definido para todos os perfis. Você pode modificar esta configuração com base na urgência do incidente e na carga prevista no seu sistema.

    Todos os alertas adicionados ao incidente em um intervalo de pesquisa específico terão um processo executado e, em seguida, anexados às listas relacionadas a alertas do Azure Sentinel e a anotação de trabalho também será publicada.

    Procedimento

    1. No formulário de programação, preencha os campos.

      Configure a programação para definir como e quando você extrai incidentes do locatário Microsoft Azure.

      Tabela 1. Formulário de programação
      Campo Descrição
      Ingestão de incidentes em andamento Ingestão contínua de incidentes que a instância Now Platform extrai do locatário Microsoft Azure para novos incidentes. Os incidentes de segurança serão criados se forem encontrados incidentes acionados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) Frequência de pesquisa definida em minutos.
      Definir tempo de ingestão do incidente Ingestão de incidentes que se baseia na data e hora configuradas.

      Você pode usar esta opção para definir uma data e hora específicas para a ingestão inicial. As ingestões subsequentes são baseadas no período de intervalo de pesquisa.
      Tempo de adição do incidente de entrada

      Data e hora que você especifica para a ingestão de incidentes.
      Recuperação Única Marque esta caixa de seleção para permitir a recuperação única de incidentes históricos do Azure Sentinel e, em seguida, fazer a reconciliação dos dados. Quando você seleciona este checkox, a aplicação extrai todos os incidentes abertos e encerrados do Azure Sentinel pelo período de até 6 meses aproximadamente.

      Ao processar os dados, tanto os incidentes em andamento quanto os dados históricos são extraídos, mas o processamento dos incidentes em andamento tem precedência sobre a extração histórica. Caso contrário, a extração histórica poderá levar algum tempo com base na duração e no número de incidentes que você está ingerindo .

      Nota:
      Os incidentes históricos do Azure Sentinel recuperados passam por verificações de desduplicação para evitar duplicações na aplicação Security Incident Response.
      Desde a data A data desde quando os incidentes históricos foram ingeridos do Azure Sentinel.
      Nota:
      Os dados de incidentes são extraídos aproximadamente dos últimos 6 meses.

      A página de programação permite que você defina como e quando os incidentes são extraídos do locatário Microsoft Azure.

    2. Para navegar até a página Opções adicionais, clique em Continuar.