Erstellen Sie ein Profil für Microsoft Azure Sentinel

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erstellen Sie ein Incident-Profil in Ihrer Instanz Now Platform, und bestimmen Sie die Microsoft Azure Sentinel -Incidents, die sich zum Erstellen von Security Incidents eignen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Integration können Sie verschiedene Arten von Incidents erstellen, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese Incidents werden basierend auf den Profilen erstellt, die Sie in der Instanz Now Platform konfigurieren. Alle Incidents werden zunächst für einen konfigurierten Incident-Typ in einem Profil erstellt. Erstellte Incidents können dann weiter gefiltert werden, um anzugeben, welche Incidents Security Incidents erstellen.

    Alle Incidents, die die Auswahlkriterien in Ihrem Mandanten Microsoft Azure erfüllen und über die API Microsoft Azure Sentinel verfügbar sind, werden zunächst in Ihrer Instanz Now Platform erfasst.

    Prozedur

    1. Navigieren zu Alle > Microsoft Azure Sentinel-Integration > Azure Sentinel-Incident-Profil.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Microsoft Azure Sentinel Formular „Konfigurationen der Incident-Erfassung“.
      Feld Beschreibung
      Name

      Name für das Profil

      Dieser Name hilft Ihnen, den Profiltyp zu identifizieren, und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv

      Indikator, der angibt, dass das Profil aktiv ist.

      Wenn das Profil aktiv ist, impliziert dies, dass Now Platform Azure Sentinel-Incidents aktiv abfragt und dass entsprechende Security Incidents in SIR erstellt werden, wenn die Filterbedingungen erfüllt sind.
      Quelle Microsoft Azure -Mandanten, den Sie für die Erfassung von Incidents konfiguriert haben. Wenn mehrere Mandanten konfiguriert sind, wählen Sie den entsprechenden Mandanten für die Incident-Typen aus, die für das Profil erfasst werden sollen.
      Bestellung

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Beispiel: 100, 200, 300, 400.

      Der Standardwert ist 100.
      Beschreibung Zusätzlicher Text, mit dem Sie dieses Profil von anderen Profilen unterscheiden können.
    4. Um zum Abschnitt „Zuordnung“ zu wechseln, klicken Sie auf Fortfahren.

    Nächste Maßnahme

    Ordnen Sie einzelne Incident-Felder Microsoft Azure Sentinel den Feldern im Security Incident Now Platform SIR zu.