Planen Sie den Incident-Abruf Microsoft Azure Sentinel .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und die Microsoft Azure Sentinel Incidents zu erfassen, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_sni.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft zukünftige Microsoft Azure Sentinel Incidents abgefragt werden sollen, die der Incident-Profilkonfiguration entsprechen.

    Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Zeitplanung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung festzulegen, aktivieren Sie Incident-Erfassungszeit festlegen. Die nachfolgende Erfassung basiert auf dem Abfrageintervall.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die unterschiedlichen Abfrageintervalle können sich auf die Leistung der Incident-Integration von Microsoft Azure Sentinel auswirken. Planen Sie bei der Zeitplanung, dass die Systemlast auf die Dringlichkeit eines Incident abgestimmt wird. Für alle Profile wird ein Standardwert von einer Minute festgelegt. Sie können diese Einstellung basierend auf der Dringlichkeit des Incident und der erwarteten Auslastung Ihres Systems ändern.

    Für alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, wird ein Prozess ausgeführt und dann an die zugehörigen Listen der Azure Sentinel-Warnungen angehängt, und die Arbeitsnotiz wird ebenfalls veröffentlicht.

    Prozedur

    1. Füllen Sie die Felder des Planungsformulars aus.

      Konfigurieren Sie den -Zeitplan, um zu definieren, wie und wann Sie Incidents aus dem Microsoft Azure -Mandanten abrufen.

      Tabelle : 1. Formular „Zeitplanung“
      Feld Beschreibung
      Fortlaufende Incident-Erfassung Laufende Incident-Erfassung, die die Instanz Now Platform ] für neue Incidents vom Mandanten Microsoft Azure abruft. Security Incidents werden erstellt, wenn ausgelöste Incidents gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen.
      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Incident-Erfassungszeit festlegen Incident-Erfassung, die auf dem konfigurierten Datum und der Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Abfrageintervall.
      Eingabe Incident-Erfassungszeit

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.
      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um das einmalige Abrufen historischer Azure Sentinel-Incidents zuzulassen und dann den Datenabgleich durchzuführen. Wenn Sie dieses Kontrollkästchen aktivieren, ruft die Anwendung alle offenen und geschlossenen Azure Sentinel-Incidents für den Zeitraum bis zu ungefähr 6 Monaten ab.

      Bei der Verarbeitung der Daten werden sowohl laufende Incidents als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Incidents hat Vorrang vor dem Abrufen historischer Daten. Andernfalls kann das Abrufen historischer Daten je nach Dauer und Anzahl der erfassten Incidents einige Zeit in Anspruch nehmen .

      Hinweis:
      Die abgerufenen historischen Azure Sentinel-Incidents werden Deduplizierungsprüfungen unterzogen, um Duplikate in der Security Incident Response-Anwendung zu verhindern.
      Seit Datum Das Datum, seit dem die historischen Incidents aus Azure Sentinel erfasst wurden.
      Hinweis:
      Die Incident-Daten werden ungefähr aus den letzten 6 Monaten abgerufen.

      Auf der Planungsseite können Sie definieren, wie und wann Incidents aus dem -Mandanten Microsoft Azure abgerufen werden.

    2. Um zur Seite „Zusätzliche Optionen“ zu navigieren, klicken Sie auf Fortfahren.