Planifier la récupération de l’incident Microsoft Azure Sentinel

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Définissez un calendrier pour récupérer les données d’incident et ingérer les Microsoft Azure Sentinel incidents qui correspondent aux critères du profil.

    Avant de commencer

    Rôle requis : sn_sni.admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez planifier la fréquence à laquelle vous souhaitez interroger les futurs Microsoft Azure Sentinel incidents qui correspondent à la configuration du profil d’incident.

    Pour activer l’ingestion automatisée des incidents, vous devez configurer la planification et la récupération des incidents avant d’activer le profil. Pour définir une date et une heure spécifiques pour l’ingestion initiale, activez l’option Définir l’heure d’ingestion des incidents. L’ingestion suivante est basée sur la période de l’intervalle d’interrogation.

    L’intervalle d’interrogation est configuré individuellement pour chaque profil. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration Microsoft Azure Sentinel des incidents. Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident. Une valeur par défaut d’une minute est définie pour tous les profils. Vous pouvez modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

    Toutes les alertes qui sont ajoutées à l’incident dans un intervalle d’interrogation particulier font l’objet d’un processus exécuté, puis ajoutées aux listes connexes d’alertes Azure Sentinel, et la note de travail est également publiée.

    Procédure

    1. Renseignez les champs du formulaire de planification.

      Configurez le calendrier pour définir comment et quand extraire les incidents du Microsoft Azure locataire.

      Tableau 1. Formulaire de planification
      Champ Description
      Intégration de l'incident en cours Ingestion d’incident en cours que l’instance Now Platform extrait du locataire pour les Microsoft Azure nouveaux incidents. Les incidents de sécurité sont créés si des incidents déclenchés sont détectés et que les critères de filtrage de génération d’incidents correspondent.
      Incrémentation du sondage (minutes) Fréquence d’interrogation définie en minutes.
      Définir le délai d'intégration de l'incident Ingestion d’incidents basée sur la date et l’heure configurées.

      Vous pouvez utiliser cette option pour définir une date et une heure spécifiques pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.
      Délai d'intégration de l'incident d'entrée

      Date et heure que vous spécifiez pour l’ingestion de l’incident.
      Récupération ponctuelle Cochez cette case pour permettre la récupération unique des incidents Azure Sentinel historiques, puis procédez au rapprochement des données. Lorsque vous sélectionnez ce checkox, l’application extrait tous les incidents Azure Sentinel ouverts et fermés pour la période allant jusqu’à 6 mois environ.

      Lors du traitement des données, les incidents en cours et les données historiques sont extraits, mais le traitement des incidents en cours a priorité sur l’extraction historique. Sinon, l’extraction historique peut prendre un certain temps en fonction de la durée et du nombre d’incidents que vous ingérez.

      Remarque :
      Les incidents Azure Sentinel historiques récupérés sont soumis à des vérifications de déduplication afin d’éviter tout doublon dans l’application Security Incident Response.
      Depuis date Date depuis laquelle les incidents historiques sont ingérés depuis Azure Sentinel.
      Remarque :
      Les données sur les incidents sont extraites approximativement des 6 derniers mois.

      La page de planification vous permet de définir comment et quand les incidents sont extraits du Microsoft Azure locataire.

    2. Pour accéder à la page Options supplémentaires, cliquez sur Continuer.