Créer un profil pour Microsoft Azure Sentinel

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Créez un profil d’incident dans votre ServiceNow AI Platform instance et déterminez les Microsoft Azure Sentinel incidents appropriés pour créer des incidents de sécurité.

    Avant de commencer

    Important :

    Microsoft a prolongé l’obsolescence de l’expérience Azure Sentinel dans le portail Azure de mars 2026 à mars 2027.

    Si vous utilisez actuellement l’intégration d’Azure Sentinel avec Réponse aux incidents de sécurité (SIR), nous vous recommandons fortement de migrer vers la nouvelle intégration du portail Defender dès que possible. L’intégration de Defender inclut un utilitaire de migration intégré qui convertit automatiquement vos profils Sentinel existants en profils Defender, tout en assurant la continuité des incidents créés via Sentinel après la transition. Pour plus d’informations, consultez le Guide de migration de Microsoft Sentinel vers Defender.

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    L’intégration vous permet de créer différents types d’incidents, tels que des tentatives d’accès non autorisé et des programmes malveillants. Ces incidents sont créés en fonction des profils que vous configurez dans l’instance ServiceNow AI Platform . Tous les incidents sont initialement créés pour un type d’incident configuré dans un profil. Les incidents créés peuvent ensuite être filtrés davantage pour spécifier quels incidents créent des incidents de sécurité.

    Tous les incidents qui répondent aux critères de sélection dans votre Microsoft Azure locataire et qui sont disponibles via l’API Microsoft Azure Sentinel sont initialement ingérés dans votre ServiceNow AI Platform instance.

    Procédure

    1. Accédez à la Tous > Intégration de Microsoft Azure Sentinel > Profil d'incident Azure Sentinel.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Microsoft Azure Sentinel - Formulaire Configuration de l’ingestion d’incidents
      Champ Description
      Nom

      Nom du profil.

      Ce nom vous aide à identifier le type de profil et est également le nom par défaut de la balise de sécurité associée à ce profil.
      Actives

      Indicateur indiquant que le profil est actif.

      Lorsque le profil est actif, cela implique que le ServiceNow AI Platform interroge activement les incidents Azure Sentinel et que les incidents de sécurité correspondants sont créés lorsque SIR les conditions de filtrage sont vérifiées.
      Source Microsoft Azure locataire que vous avez configuré pour ingérer des incidents. Si vous avez configuré plusieurs locataires, sélectionnez celui qui convient aux types d’incidents que vous prévoyez d’ingérer pour le profil.
      Ordre

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux avec le numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      La valeur par défaut est 100.
      Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.
    4. Pour passer à la section Mappage, cliquez sur Continuer.

    Que faire ensuite

    Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident ServiceNow AI Platform SIR de sécurité.