Définir le calendrier de l’ingestion de tickets CTP SecureWorks

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

Vérifiez les paramètres par défaut pour la récupération des tickets ou modifiez la planification selon vos besoins. Cette étape vous permet de filtrer votre récupération de ticket en fonction d’une plage de dates et d’un intervalle d’interrogation.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Vous choisissez également la fréquence à laquelle vous interrogerez les futurs tickets qui correspondent à la configuration du profil de ticket. Configurez ces intervalles d’interrogation pour chaque profil. Lors de la planification, vous préférerez peut-être équilibrer la charge du système par rapport à l’urgence de l’incident. Une valeur par défaut d’une minute est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

Procédure

Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.

Choisissez-en un pour planifier comment Secureworks CTP et quand les tickets sont extraits du portail.

Option	Description
Ingestion de ticket en cours sélectionnée	En fonction du paramètre par défaut, l’instance Now Platform extrait du Secureworks CTP portail de nouveaux tickets toutes les cinq minutes. Les incidents de sécurité sont créés si des tickets sont trouvés et que les critères de filtrage de génération d’incidents correspondent. Pour équilibrer l’ingestion des tickets par rapport à la charge du serveur, et pour extraire les données les plus récentes, cinq minutes est le paramètre que vous préférerez. Toutefois, cette valeur peut être modifiée si nécessaire.
Ingestion de ticket en cours sélectionnée Définir le délai d'intégration du ticket initial	Délai d’intégration initial Si vous souhaitez planifier l’ingestion initiale à un moment précis, procédez comme suit : Sélectionnez les champs Ingestion de ticket en cours et Définir le délai d’ingestion du ticket initial. Spécifiez l’heure dans le champ Heure d’intégration du ticket initial d’entrée. L’ingestion initiale aura lieu au moment spécifié ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrément d’interrogation (minutes). Par exemple, pour la planification, si vous avez une tâche de ticket quotidien qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil de ticket correspondant dans votre instance Now Platform pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer le ticket immédiatement et créer un incident de sécurité. Entrez 04 05 00 dans le champ Ingestion du ticket initial. Dans le champ Incrément d’interrogation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion de ticket pendant 24 heures à compter de l’ingestion initiale du ticket. Le délai d’intégration du ticket initial et le délai d’intégration du ticket suivant sont affichés dans les champs. Pour configurer les paramètres de cet exemple, procédez comme suit : Sélectionnez l’option Ingestion de ticket en cours . Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures). Sélectionnez l’option Définir le délai d’ingestion du ticket initial . Dans le champ Délai d’intégration du ticket initial d’entrée, saisissez 04 05 00. L’heure de la prochaine ingestion de ticket est affichée dans le champ Heure d’ingestion du ticket suivant (estimée).

Option

Description

Ingestion de ticket en cours sélectionnée

En fonction du paramètre par défaut, l’instance Now Platform extrait du Secureworks CTP portail de nouveaux tickets toutes les cinq minutes. Les incidents de sécurité sont créés si des tickets sont trouvés et que les critères de filtrage de génération d’incidents correspondent. Pour équilibrer l’ingestion des tickets par rapport à la charge du serveur, et pour extraire les données les plus récentes, cinq minutes est le paramètre que vous préférerez. Toutefois, cette valeur peut être modifiée si nécessaire.

Ingestion de ticket en cours sélectionnée
Définir le délai d'intégration du ticket initial

Délai d’intégration initial

Si vous souhaitez planifier l’ingestion initiale à un moment précis, procédez comme suit :

Sélectionnez les champs Ingestion de ticket en cours et Définir le délai d’ingestion du ticket initial.
Spécifiez l’heure dans le champ Heure d’intégration du ticket initial d’entrée.

L’ingestion initiale aura lieu au moment spécifié ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrément d’interrogation (minutes).

Par exemple, pour la planification, si vous avez une tâche de ticket quotidien qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil de ticket correspondant dans votre instance Now Platform pour qu’il s’exécute à 4 h 05, heure locale, afin de capturer le ticket immédiatement et créer un incident de sécurité.

Entrez 04 05 00 dans le champ Ingestion du ticket initial. Dans le champ Incrément d’interrogation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion de ticket pendant 24 heures à compter de l’ingestion initiale du ticket. Le délai d’intégration du ticket initial et le délai d’intégration du ticket suivant sont affichés dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit :

Sélectionnez l’option Ingestion de ticket en cours .
Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures).
Sélectionnez l’option Définir le délai d’ingestion du ticket initial .
Dans le champ Délai d’intégration du ticket initial d’entrée, saisissez 04 05 00. L’heure de la prochaine ingestion de ticket est affichée dans le champ Heure d’ingestion du ticket suivant (estimée).

Cliquez sur Continuer pour accéder à la page Options supplémentaires.