Planen Sie den DLP IR Microsoft-Incident-Abruf

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und Microsoft DLP IR Incidents zu erfassen, die den Kriterien im Profil entsprechen. Konfigurieren Sie den Zeitplan, um festzulegen, wie und wann Sie Incidents aus Microsoftabrufen .

    Vorbereitungen

    Erforderliche Rolle: sn_dlir.admin (Erstellen, Bearbeiten und Löschen)

    sn_dlir.analyst – Anzeigen (schreibgeschützt)

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie zukünftige Incidents abfragen, die der Incident-Profilkonfiguration entsprechen. Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Zeitplanung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Das Profil kann mit dem Kontrollkästchen Einmaliger Abruf so konfiguriert werden, dass es nur einmal abgerufen wird. Das Verlaufsdatum kann bis zu den letzten drei Monaten ab dem aktuellen Datum reichen.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die unterschiedlichen Abfrageintervalle können sich auf die Leistung der Incident-Integration von Microsoft DLP IR auswirken. Planen Sie bei der Zeitplanung, dass die Systemlast auf die Dringlichkeit eines Incident abgestimmt wird.

    Prozedur

    1. Legen Sie einen Zeitplan fest, um Daten abzurufen und Incidents zu erfassen, die den Kriterien im Profil entsprechen.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Zeitplan für das DLP-Incident-Formular
      Feld Beschreibung
      Laufende Incident-Erfassung Die laufende Incident-Erfassung, die die Instanz Now Platform für neue Incidents von Microsoft abruft. DLP IR Incidents werden erstellt, wenn ausgelöste Incidents gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen.
      Abfrageschritt (Minuten) Die Abfragehäufigkeit von Microsoft. Dieses Feld wird automatisch auf 300 Minuten festgelegt.
      Zeitpunkt der ersten Incident-Erfassung festlegen Option zum Definieren eines Datums und einer Uhrzeit für die erste Erfassung. Nachfolgende Erfassungen basieren auf dem Abfrageintervall.

      Diese Option ist nur sichtbar, wenn das Feld Laufende Incident -Erfassung ausgewählt ist.
      Zeitpunkt der ersten Incident-Erfassung eingeben Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.
      • Wenn der Wert festgelegt ist, beginnt das Abrufen der Daten von Microsoft ab dem hinzugefügten Datum in der Zukunft.
      • Dieses Feld ist nur sichtbar, wenn Anfängliche Erfassungszeit festlegen ausgewählt ist.
      Zeitpunkt der ersten Incident-Erfassung Zeitpunkt der ersten Erfassung der Daten.

      Sie können sehen, dass Werte angezeigt werden, wenn die anfängliche Incident-Erfassungszeit festgelegt wird.
      Nächste Incident-Erfassungszeit (geschätzt) Nächster Zeitraum für eine geschätzte Incident-Erfassung.
      Einmaliger Abruf Option zum Aktivieren einmaliger Abrufe historischer Daten.

      Wenn dieses Feld ausgewählt ist, werden Verlaufsdaten entsprechend dem im Feld Seit Datum hinzugefügten Datum aus Microsoft DLP IR abgerufen.
      Seit Datum Datum, ab dem Daten von Microsoft abgerufen werden sollen.

      Dieses Feld kann auf maximal 7 Tage festgelegt werden.
    3. Speichern Sie die erstellte Profilkonfiguration, indem Sie im Popup-Fenster auf Fertigstellen klicken.
    4. Aktivieren Sie das Profil.
      1. Öffnen Sie das erstellte Profil.
      2. Aktivieren Sie die Option Aktiv.
      3. Klicken Sie auf Aktualisieren.

    Ergebnisse

    Nach der erfolgreichen Erstellung und Aktivierung des Profils werden die Incidents regelmäßig gemäß der im Profil festgelegten Konfiguration abgerufen und der DLP-Incident-Tabelle hinzugefügt.