Programar a DLP IR recuperação de incidentes da Microsoft

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e ingerir Microsoft DLP IR incidentes que correspondam aos critérios no perfil. Configure a programação para definir como e quando você extrai incidentes de Microsoft.

    Antes de Iniciar

    Função necessária: sn_dlir.admin (Criar, editar e excluir)

    sn_dlir.analyst - Exibir (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar a frequência com que pesquisará incidentes futuros que correspondam à configuração do perfil de incidente. Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. O perfil pode ser configurado para fazer uma recuperação única usando a caixa de seleção Recuperação única. A data histórica pode ser até os últimos três meses a partir da data atual.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho da integração de incidentes Microsoft DLP IR. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente.

    Procedimento

    1. Defina uma programação para recuperar dados e incluir incidentes que correspondam aos critérios no perfil.
    2. No formulário, preencha os campos.
      Tabela 1. Programação do formulário de incidente da DLP
      Campo Descrição
      Adição de incidentes em andamento A ingestão de incidentes em andamento que a instância Now Platform extrai da Microsoft para novos incidentes. DLP IR incidentes serão criados se incidentes acionados forem encontrados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) A frequência de pesquisa do Microsoft. Este campo é definido automaticamente para 300 minutos.
      Definir horário de adição do incidente inicial Opção para definir uma data e hora para a ingestão inicial. As ingestões subsequentes são baseadas no período de intervalo de pesquisa.

      Esta opção fica visível somente quando o campo Ingestão de incidentes contínuos está selecionado.
      Horário de entrada de adição do incidente inicial Data e hora que você especifica para a ingestão de incidentes.
      • Se o valor estiver definido, a recuperação de dados da Microsoft será iniciada a partir da data futura adicionada.
      • Este campo fica visível somente quando Definir tempo de ingestão inicial está selecionado.
      Horário de adição do incidente inicial Primeira vez em que os dados são ingeridos.

      Você pode ver que os valores começam a aparecer quando o tempo de ingestão do incidente inicial é definido.
      Horário de adição do próximo incidente (estimado) O próximo período para uma ingestão de incidente estimada.
      Recuperação Única Opção para habilitar extrações únicas de dados históricos.

      Se este campo for selecionado, os dados históricos serão extraídos do Microsoft DLP IR de acordo com a data adicionada no campo Desde a data.
      Desde a Data Data a partir da qual os dados devem ser recuperados da Microsoft.

      Este campo pode ser definido para um máximo de 7 dias.
    3. Salve a configuração de perfil criada clicando em Concluir na janela pop-up.
    4. Ative o perfil.
      1. Abra o perfil criado.
      2. Habilite a opção Ativo.
      3. Clique em Atualizar.

    Resultado

    Após a criação e a ativação bem-sucedidas do perfil, os incidentes são recuperados periodicamente de acordo com a configuração definida no perfil e adicionados à tabela de incidentes da DLP.