Definieren Sie einen Zeitplan für die Integration der Microsoft Graph-Sicherheits-API

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Überprüfen Sie die Standardeinstellungen für den Abruf von Warnungen, oder ändern Sie die Zeitplanung nach Bedarf. Mit diesem Schritt können Sie den Abruf Ihrer Warnung basierend auf einem Datumsbereich filtern.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können auch auswählen, wie häufig zukünftige Warnungen abgefragt werden, die der Konfiguration des Warnungsprofils entsprechen. Bei Profilen zur automatisierten Warnungserfassung überprüfen und ändern Sie vor der Aktivierung des Profils die Zeitplanung und den Warnungsabruf. Dieser Schritt ist für geplante Warnungsprofile erforderlich.

    Als Benutzer mit der Rolle sn_si.admin konfigurieren Sie diese Abfrageintervalle für einzelne Profile. Die Leistung der Integration zur Microsoft Graph-Sicherheits-API -Warnungserfassung wird durch die verschiedenen Abfrageintervalle beeinflusst. Bei der Planung möchten Sie möglicherweise die Systemlast gegen die Dringlichkeit des incident abwägen. Für jedes Profil ist ein Standardwert von fünf Minuten festgelegt. Sie können diese Einstellung jedoch je nach Dringlichkeit des incident und der erwarteten Auslastung Ihres Systems ändern.

    Prozedur

    1. Wenn die Seite „Zeitplanung“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie „ Zeitplanung“ aus.
    2. Wählen Sie eine aus, um zu planen, wie und wann Warnungen aus dem Mandanten Microsoft Azure abgerufen werden.
      OptionBeschreibung
      Fortlaufende Warnungserfassung ausgewählt Basierend auf der Standardeinstellung ruft die Now Platform-Instanz alle fünf Minuten neue Warnungen vom Mandanten Microsoft Azure ab. Security Incidents werden erstellt, wenn ausgelöste Warnungen gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind. Um die Warnungserfassung auf die Serverauslastung abzustimmen und die aktuellen Daten abzurufen, sollten Sie fünf Minuten als Einstellung bevorzugen. Dieser Wert kann jedoch nach Bedarf geändert werden.
      • Fortlaufende Warnungserfassung ausgewählt
      • Zeit der ersten Warnungserfassung festlegen
      		 Zeitpunkt der ersten Erfassung
      Wenn Sie die erste Erfassung zu einem bestimmten Zeitpunkt planen möchten, gehen Sie wie folgt vor:
      • Wählen Sie die Felder Fortlaufende Warnungserfassung und Zeit der ersten Warnungserfassung festlegen aus.
      • Geben Sie die Zeit im Feld Zeit für Erfassung der ersten Warnung der Eingabe an.

      Die erste Erfassung erfolgt zu dem hier angegebenen Zeitpunkt. Nachfolgende Erfassungen basieren auf dem Zeitplan, der im Feld „Abfrageschritt (Minuten)“ definiert ist.

      Als Beispiel für die Planung: Wenn Sie einen täglichen Warnungsauftrag haben, der einmal täglich um 4:00 Uhr Ortszeit ausgeführt wird, können Sie das entsprechende Warnungsprofil in Ihrer Now Platform-Instanz so einrichten, dass es um 4:05 Uhr Ortszeit ausgeführt wird, um die Warnung zu erfassen sofort bearbeiten und einen Security Incident erstellen.

      Geben Sie 04 05 00 in das Feld Erfassung von ersten Warnungen ein. Geben Sie im Feld Inkrement (Minuten) den Wert 1440 (24 Stunden) ein, um die nächste Warnungserfassung für 24 Stunden ab der ersten Warnungserfassung zu planen. In den Feldern wird sowohl die Zeit der ersten Warnungserfassung als auch die Zeit der nächsten Warnungserfassung angezeigt.

      Um die Einstellungen in diesem Beispiel zu konfigurieren, gehen Sie wie folgt vor:
      • Wählen Sie die Option Fortlaufende Warnungserfassung aus.
      • Geben Sie im Feld Abfrageschritt (Minuten) den Wert 1440 (24 Stunden) ein.
      • Klicken Sie auf die Option Zeit der ersten Warnungserfassung festlegen, um die Bearbeitung der Felder Zeit der ersten Warnungserfassung und Zeit der nächsten Warnungserfassung (geschätzt) zu aktivieren.
      • Geben Sie im Feld Zeit der ersten Warnungserfassung den Wert 04 05 00 ein. Im Zeitfeld Nächste Warnungserfassung (geschätzt) wird die Zeit der nächsten Warnungserfassung angezeigt.
      Feld „Einmaliger Abruf“ ausgewählt Einmaliger Abruf

      Verwenden Sie diese Konfiguration, wenn Sie einen einmaligen Abruf durchführen möchten, um historische Warnungen zu erfassen.

      Wenn diese Einstellung konfiguriert ist, wird ein Profil einmal verwendet, um Warnungen von historischen Ereignissen abzurufen, die auf einem Datumsbereich basieren. Klicken Sie rechts neben dem Feld Seit Datum auf das Kalendersymbol. Wählen Sie im angezeigten Kalender das Datum aus, an dem Sie mit dem Abrufen von Warnungen beginnen möchten. Beginnend mit dem Datumswert „Seit“ werden Warnungen bis zum aktuellen Datum abgerufen. Beachten Sie, dass der Pull rückwirkend ab dem aktuellen Datum bis zu sieben Tage möglich ist. Diese Funktionalität ist nicht dazu gedacht, signifikante Mengen von historischen Warnungen abzurufen, sondern eine minimale Menge von Warnungen während der ausführung, die zum Zeitpunkt der Profilaktivierung aktiv bearbeitet werden.

      Nachdem die Warnungen abgerufen wurden, werden mit dieser Einstellung ab dem aktuellen Datum keine weiteren Warnungen für dieses Profil abgerufen. Mit dieser Einstellung wird der Security Incident mit allen Warnungen ausgefüllt, die für den von Ihnen eingegebenen Bereich gefunden werden.
    3. Klicken Sie auf „ Fortsetzen “, um zur Seite „Zusätzliche Optionen“ zu navigieren.