Definieren Sie einen Zeitplan für die Integration der Microsoft Graph-Sicherheits-API

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Überprüfen Sie die Standardeinstellungen für den Warnungsabruf, oder ändern Sie die Planung nach Bedarf. Mit diesem Schritt können Sie Ihren Warnungsabruf basierend auf einem Datumsbereich filtern.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Warum und wann dieser Vorgang ausgeführt wird

Sie können auch auswählen, wie oft zukünftige Warnungen abgefragt werden sollen, die der Konfiguration des Warnungsprofils entsprechen. Bei Profilen für die automatisierte Warnungserfassung überprüfen und ändern Sie die Zeitplanung und den Warnungsabruf, bevor das Profil aktiviert wird. Dieser Schritt ist für geplante Warnungsprofile erforderlich.

Als Benutzer mit der Rolle „sn_si.admin“ konfigurieren Sie diese Abfrageintervalle pro Profil. Die Leistung der Integration der Microsoft Graph-Sicherheits-API -Warnungserfassung wird durch die unterschiedlichen Abfrageintervalle beeinflusst. Bei der Planung möchten Sie möglicherweise die Systemlast mit der Dringlichkeit von Incidents in Einklang bringen. Für jedes Profil wird ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch je nach Dringlichkeit des Incident und der erwarteten Auslastung Ihres Systems ändern.

Prozedur

Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zeitplanungaus.

Wählen Sie einen aus, um zu planen, wie und wann Warnungen aus dem Mandanten Microsoft Azure abgerufen werden.

Option	Beschreibung
Laufende Warnungserfassung ausgewählt	Basierend auf der Standardeinstellung ruft die Now Platform-Instanz alle fünf Minuten neue Warnungen vom Mandanten Microsoft Azure ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um die Warnungserfassung mit der Serverlast auszugleichen und die aktuellsten Daten abzurufen, ist eine Einstellung von fünf Minuten möglicherweise die richtige. Dieser Wert kann jedoch nach Bedarf geändert werden.
Laufende Warnungserfassung ausgewählt Legen Sie die anfängliche Warnungserfassungszeit fest	Zeit der ersten Erfassung Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, führen Sie die folgenden Schritte aus: Wählen Sie die Felder Ongoing Alert Ingestion (Laufende Warnungserfassung) und Anfängliche Warnungserfassungszeit festlegen aus. Geben Sie die Zeit im Feld Anfängliche Warnungs-Erfassungszeit eingeben an. Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist. Wenn Sie beispielsweise eine tägliche Warnungsaufgabe haben, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Warnungsprofil in Ihrer Now Platform-Instanz so einrichten, dass es um 4:05 Uhr Ortszeit ausgeführt wird, um die Warnung zu erfassen sofort und erstellen Sie einen Security Incident. Geben Sie 04 05 00 in das Feld Anfängliche Warnungserfassung ein. Geben Sie im Feld Increment (Minutes) (Schrittweite (Minuten)) 1440 (24 Stunden) ein, um die nächste Warnungserfassung für 24 Stunden nach der ersten Warnungserfassung zu planen. Sowohl die anfängliche als auch die nächste Warnungserfassungszeit werden in den Feldern angezeigt. Führen Sie die folgenden Schritte aus, um die Einstellungen in diesem Beispiel zu konfigurieren: Wählen Sie die Option Ongoing Alert Ingestion (Laufende Warnungserfassung) aus. Geben Sie im Feld Abfrageschritt (Minuten) den Wert 1440 (24 Stunden) ein. Klicken Sie auf die Option Anfängliche Warnungserfassungszeit festlegen, um die Bearbeitung für die Felder Anfängliche Warnungserfassungszeit und Nächste Warnungserfassung (geschätzte) Zeit zu aktivieren. Geben Sie im Feld Zeit der ersten Warnungserfassung 04 05 00 ein. Im Feld Zeit der nächsten Warnungserfassung (geschätzt) wird die Zeit der nächsten Warnungserfassung angezeigt.
Feld „Einmaliger Abruf“ ausgewählt	Einmaliger Abruf Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf für die Erfassung historischer Warnungen wünschen. Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Warnungen von Verlaufs-Events abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert Seit werden Warnungen bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie ab dem aktuellen Datum bis zu sieben Tage zurückziehen können. Diese Funktionalität ist nicht dazu gedacht, nennenswerte Mengen historischer Warnungen abzurufen, sondern eine minimale Menge von Warnungen während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden. Nachdem die Warnungen abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Warnungen für dieses Profil abgerufen. Diese Einstellung füllt den Security Incident mit allen Warnungen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Option

Beschreibung

Laufende Warnungserfassung ausgewählt

Basierend auf der Standardeinstellung ruft die Now Platform-Instanz alle fünf Minuten neue Warnungen vom Mandanten Microsoft Azure ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen. Um die Warnungserfassung mit der Serverlast auszugleichen und die aktuellsten Daten abzurufen, ist eine Einstellung von fünf Minuten möglicherweise die richtige. Dieser Wert kann jedoch nach Bedarf geändert werden.

Laufende Warnungserfassung ausgewählt
Legen Sie die anfängliche Warnungserfassungszeit fest

Zeit der ersten Erfassung

Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, führen Sie die folgenden Schritte aus:

Wählen Sie die Felder Ongoing Alert Ingestion (Laufende Warnungserfassung) und Anfängliche Warnungserfassungszeit festlegen aus.
Geben Sie die Zeit im Feld Anfängliche Warnungs-Erfassungszeit eingeben an.

Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld Abfrageschritt (Minuten) definiert ist.

Wenn Sie beispielsweise eine tägliche Warnungsaufgabe haben, die einmal täglich um 4 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Warnungsprofil in Ihrer Now Platform-Instanz so einrichten, dass es um 4:05 Uhr Ortszeit ausgeführt wird, um die Warnung zu erfassen sofort und erstellen Sie einen Security Incident.

Geben Sie 04 05 00 in das Feld Anfängliche Warnungserfassung ein. Geben Sie im Feld Increment (Minutes) (Schrittweite (Minuten)) 1440 (24 Stunden) ein, um die nächste Warnungserfassung für 24 Stunden nach der ersten Warnungserfassung zu planen. Sowohl die anfängliche als auch die nächste Warnungserfassungszeit werden in den Feldern angezeigt.

Führen Sie die folgenden Schritte aus, um die Einstellungen in diesem Beispiel zu konfigurieren:

Wählen Sie die Option Ongoing Alert Ingestion (Laufende Warnungserfassung) aus.
Geben Sie im Feld Abfrageschritt (Minuten) den Wert 1440 (24 Stunden) ein.
Klicken Sie auf die Option Anfängliche Warnungserfassungszeit festlegen, um die Bearbeitung für die Felder Anfängliche Warnungserfassungszeit und Nächste Warnungserfassung (geschätzte) Zeit zu aktivieren.
Geben Sie im Feld Zeit der ersten Warnungserfassung 04 05 00 ein. Im Feld Zeit der nächsten Warnungserfassung (geschätzt) wird die Zeit der nächsten Warnungserfassung angezeigt.

Feld „Einmaliger Abruf“ ausgewählt

Einmaliger Abruf

Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf für die Erfassung historischer Warnungen wünschen.

Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Warnungen von Verlaufs-Events abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Datumsfeld Seit auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert Seit werden Warnungen bis zum aktuellen Datum abgerufen. Beachten Sie, dass Sie ab dem aktuellen Datum bis zu sieben Tage zurückziehen können. Diese Funktionalität ist nicht dazu gedacht, nennenswerte Mengen historischer Warnungen abzurufen, sondern eine minimale Menge von Warnungen während der Ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

Nachdem die Warnungen abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Warnungen für dieses Profil abgerufen. Diese Einstellung füllt den Security Incident mit allen Warnungen aus, die für den von Ihnen eingegebenen Bereich gefunden werden.

Klicken Sie auf Fortfahren, um zur Seite „Zusätzliche Optionen“ zu navigieren.