Planifier Microsoft Azure Sentinel la récupération de l’incident

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Définissez un calendrier pour récupérer les données d’incident et ingérer les Microsoft Azure Sentinel incidents qui correspondent aux critères du profil.

    Avant de commencer

    Important :

    Microsoft a prolongé l’obsolescence de l’expérience Azure Sentinel dans le portail Azure de mars 2026 à mars 2027.

    Si vous utilisez actuellement l’intégration d’Azure Sentinel avec Réponse aux incidents de sécurité (SIR), nous vous recommandons fortement de migrer vers la nouvelle intégration du portail Defender dès que possible. L’intégration de Defender inclut un utilitaire de migration intégré qui convertit automatiquement vos profils Sentinel existants en profils Defender, tout en assurant la continuité des incidents créés via Sentinel après la transition. Pour plus d’informations, consultez le Guide de migration de Microsoft Sentinel vers Defender.

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez planifier la fréquence à laquelle vous souhaitez interroger les incidents futurs Microsoft Azure Sentinel qui correspondent à la configuration du profil d’incident.

    Pour activer l’ingestion automatisée des incidents, vous devez configurer la planification et la récupération des incidents avant d’activer le profil. Pour définir une date et une heure spécifiques pour l’ingestion initiale, activez l’option Définir le délai d’intégration des incidents. L’ingestion suivante est basée sur la période de l’intervalle d’interrogation.

    L’intervalle d’interrogation est configuré pour chaque profil individuellement. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration Microsoft Azure Sentinel des incidents. Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident. Une valeur par défaut d’une minute est définie pour tous les profils. Vous pouvez modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

    Toutes les alertes qui sont ajoutées à l’incident dans un intervalle d’interrogation particulier sont exécutées, puis ajoutées aux listes connexes des alertes Azure Sentinel et une note de travail est également publiée.

    Procédure

    1. Renseignez les champs du formulaire de planification.

      Configurez le calendrier pour définir comment et quand extraire les Microsoft Azure incidents du locataire.

      Tableau 1. Formulaire de planification
      Champ Description
      Intégration de l'incident en cours Ingestion d’incidents Microsoft Azure en cours que l’instance ServiceNow AI Platform extrait du locataire pour les nouveaux incidents. Les incidents de sécurité sont créés si des incidents déclenchés sont détectés et que les critères de filtrage de génération d’incidents correspondent.
      Incrémentation du sondage (minutes) Fréquence d’interrogation définie en minutes.
      Définir le délai d'intégration de l'incident L’ingestion d’incidents est basée sur la date et l’heure configurées.

      Vous pouvez utiliser cette option pour définir une date et une heure spécifiques pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.
      Délai d'intégration de l'incident d'entrée

      Date et heure que vous spécifiez pour l’ingestion d’incident.
      Récupération ponctuelle Cochez cette case pour permettre la récupération unique des incidents Azure Sentinel historiques, puis procédez au rapprochement des données. Lorsque vous sélectionnez ce point de cochage, l’application extrait tous les incidents Azure Sentinel ouverts et fermés pour la période allant jusqu’à 6 mois environ.

      Lors du traitement des données, les incidents en cours et les données historiques sont extraits, mais le traitement des incidents en cours a priorité sur l’extraction historique. Sinon, l’extraction historique peut prendre un certain temps en fonction de la durée et du nombre d’incidents que vous ingérez.

      Remarque :
      Les incidents Azure Sentinel historiques récupérés sont soumis à des contrôles de déduplication afin d’éviter tout doublon dans l’application Réponse aux incidents de sécurité.
      Depuis date Date depuis laquelle les incidents historiques sont ingérés à partir d’Azure Sentinel.
      Remarque :
      Les données d’incident sont extraites approximativement des 6 derniers mois.

      La page de planification vous permet de définir comment et quand les incidents sont extraits du Microsoft Azure locataire.

    2. Pour accéder à la page Options supplémentaires, cliquez sur Continuer.