Überprüfen Sie die Integrationseinstellungen von Microsoft Azure Sentinel .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Überprüfen Sie die Integrationseinstellungen von Microsoft Azure Sentinel, damit Sie die Systemeigenschaften an Ihre Umgebung anpassen können.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Navigieren zu Alle > Microsoft Azure Sentinel-Integration > Azure Sentinel-Integration: Einstellungen.
    2. Ändern Sie die folgenden Einstellungen nach Bedarf.
      Tabelle : 1. Microsoft Azure Sentinel Integrationseinstellungen
      Eigenschaftsname Beschreibung
      Erzwingen Sie ein Limit für die Anzahl der Tage, für die Beispieldaten abgerufen werden können.

      sn_sec_sentinel.max_num_of_days_for_sample_data

      		 Maximale Anzahl von Tagen, für die Sie Beispieldaten aus der Umgebung Microsoft Azure Sentinel abrufen können.

      Typ: Ganzzahl

      Standardwert: 7
      Erhalten Sie Aktualisierungen im Zusammenhang mit neuen Warnungen, die mit SIR verknüpft sind.

      sn_sec_sentinel.incident_updates

      Aktivieren Sie die Option, um Incident-Updates zu erhalten.

      Typ: Boolesch

      Standardwert: True
      Das Trennzeichen zum Aufteilen der Werte in Microsoft Azure Sentinel Feldzuordnungen.

      sn_sec_sentinel.delimiter

      		 Das Trennzeichen zum Aufteilen der Werte in Microsoft Azure Sentinel Feldzuordnungen.

      Typ: Zeichenfolge

      Standardwert: ', ' (Komma mit Leerzeichen)
      Erzwingen Sie eine Begrenzung der Anzahl der Beispiel-Incidents, die abgerufen werden können.

      sn_sec_sentinel.max_num_of_sample_incident_per_call

      Maximale Anzahl von Beispiel-Incidents, die Sie aus der Umgebung Microsoft Azure Sentinel für die Erfassung abrufen.

      Typ: Ganzzahl

      Standardwert: 5

      Maximaler Beispielwert: 20
      Erzwingen Sie eine Begrenzung der Anzahl von Sentinel-Incidents, die zu einem einzelnen Incident zusammengefasst werden können.

      sn_sec_sentinel.max_aggregations_per_si

      Grenzwert für Incident-Zusammenfassung für einen Security Incident. Wenn beispielsweise 102 Incidents vorhanden sind, werden die ersten 100 zu Security Incident_1 und die verbleibenden 2 zu Security Incident_2 zusammengefasst.

      Typ: Ganzzahl

      Standardwert: 100
      Erzwingen Sie eine Begrenzung der Anzahl von Security Incidents, die innerhalb von 24 Stunden erstellt werden können.

      sn_sec_sentinel.max_si_per_day

      Maximale Anzahl von Security Incidents, die innerhalb von 24 Stunden im Now Platformerstellt werden können.

      Typ: Ganzzahl

      Standardwert: 1000
      Maximaler Paginierungsgrenzwert für das Abrufen der Incident-Daten in einem REST-Aufruf.

      sn_sec_sentinel.max_page_size

      Paginierungsgrenze für das Abrufen der Incident-Daten in einem REST-Aufruf aus der Microsoft Azure Sentinel -Umgebung.

      Typ: Ganzzahl

      Standardwert: 100
      API-Versionswert für Incidents.

      sn_sec_sentinel.sentinel_security_incident_api_version

      		 Die Microsoft-API-Version zum Abrufen von Sentinel-Incidents.

      Standardwert: 2021-10-01
      API-Versionswert für Warnungen.

      sn_sec_sentinel.sentinel_security_alert_api_version

      		 Die Microsoft-API-Version zum Abrufen von Sentinel-Warnungen.

      Standardwert: 2021-10-01
      API-Versionswert für Entitäten.

      sn_sec_sentinel.sentinel_security_entities_api_version

      		 Die Microsoft-API-Version zum Abrufen von Sentinel-Entitäten.

      Standardwert: 2021-10-01

      sn_sec_sentinel.logging.verbosity

      		 Die Ausführlichkeitsstufe des Protokolls der Anwendung, d. h. der Name des Informationstyps. Sie können den Wert auch auf die folgenden Optionen aktualisieren:
      • Fehler
      • warnen
      • Info
      • debuggen

      Standardwert: info.
    3. Klicken Sie auf Speichern.
      Ihre geänderten Integrationseinstellungen werden im nächsten Abfrageintervall angewendet, wie im Profil definiert.