Planen Sie den Abruf des incident Microsoft Azure Sentinel

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und die Microsoft Azure Sentinel Incidents zu erfassen, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_sni.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie zukünftige Microsoft Azure Sentinel Incidents abfragen möchten, die der Incident-Profilkonfiguration entsprechen.

    Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Planung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren, aktivieren Sie Zeit für Incident-Erfassung festlegen. Die nachfolgende Erfassung basiert auf dem Zeitraum des Abfrageintervalls.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die unterschiedlichen Abfrageintervalle können sich auf die Leistung der Incident-Integration Microsoft Azure Sentinel auswirken. Planen Sie bei der Zeitplanung, die Systemlast gegen die Dringlichkeit eines incident abzuwägen. Für alle Profile ist ein Standardwert von einer Minute festgelegt. Sie können diese Einstellung je nach Dringlichkeit des incident und der erwarteten Auslastung Ihres Systems ändern.

    Für alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, wird ein Prozess ausgeführt und dann an die zugehörigen Listen der Azure Sentinel-Warnungen angehängt. Außerdem wird eine Arbeitsnotiz veröffentlicht.

    Prozedur

    1. Füllen Sie die Felder im Formular „Zeitplanung“ aus.

      Konfigurieren Sie den Zeitplan, um zu definieren, wie und wann Sie Incidents aus dem Mandanten Microsoft Azure abrufen.

      Tabelle : 1. Formular „Zeitplanung“.
      Feld Beschreibung
      Fortlaufende Incident-Erfassung Fortlaufende Incident-Erfassung, bei der die Instanz Now PlatformMicrosoft Azure vom Mandanten [] für neue Incidents abruft. Security Incidents werden erstellt, wenn ausgelöste Incidents gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind.
      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Incident-Erfassungszeit festlegen Incident-Erfassung, die auf dem konfigurierten Datum und der konfigurierten Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Zeitraum des Abfrageintervalls.
      Eingabe Incident-Erfassungszeit

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.
      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um den einmaligen Abruf historischer Azure Sentinel-Incidents zuzulassen und dann den Abgleich der Daten durchzuführen. Wenn Sie dieses Kontrollkästchen aktivieren, ruft die Anwendung alle offenen und geschlossenen Azure Sentinel-Incidents für den Zeitraum bis zu etwa 6 Monaten ab.

      Bei der Verarbeitung der Daten werden sowohl laufende Incidents als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Incidents hat Vorrang vor dem Verlaufsabruf. Andernfalls kann der Verlaufsabruf je nach Dauer und Anzahl der erfassten Incidents einige Zeit in Anspruch nehmen .

      Hinweis:
      Die abgerufenen historischen Azure Sentinel-Incidents werden Deduplizierungsprüfungen unterzogen, um Duplikate in der Anwendung Security Incident Response zu verhindern.
      Seit Datum Das Datum, seit dem die historischen Incidents aus Azure Sentinel erfasst wurden.
      Hinweis:
      Die Incident-Daten werden ungefähr aus den letzten 6 Monaten abgerufen.

      Auf der Seite „Zeitplanung“ können Sie definieren, wie und wann Incidents aus dem Mandanten Microsoft Azure abgerufen werden.

    2. Um zur Seite „Weitere Optionen“ zu navigieren, klicken Sie auf Fortfahren.