Planifier la récupération de l’incident Microsoft Azure Sentinel

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Définissez un calendrier pour récupérer les données d’incident et ingérer les Microsoft Azure Sentinel incidents qui correspondent aux critères du profil.

    Avant de commencer

    Rôle requis : sn_sni.admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez planifier la fréquence à laquelle vous souhaitez interroger les Microsoft Azure Sentinel futurs incidents qui correspondent à la configuration du profil d’incident.

    Pour activer l’ingestion automatisée d’incidents, vous devez configurer la planification et la récupération des incidents avant d’activer le profil. Pour définir une date et une heure spécifiques pour l’ingestion initiale, activez la durée d’ingestion de l’incident définie. L’ingestion suivante est basée sur la période de l’intervalle d’interrogation.

    L’intervalle d’interrogation est configuré individuellement pour chaque profil. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration d’incident Microsoft Azure Sentinel . Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident. Une valeur par défaut d’une minute est définie pour tous les profils. Vous pouvez modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

    Toutes les alertes qui sont ajoutées à l’incident dans un intervalle d’interrogation particulier ; un processus est exécuté, puis ajouté aux listes connexes d’alertes Azure Sentinel, et la note de travail est également publiée.

    Procédure

    1. Renseignez les champs du formulaire de planification.

      Configurez le calendrier pour définir comment et quand vous extrayez les incidents du Microsoft Azure locataire.

      Tableau 1. Formulaire de planification
      Champ Description
      Intégration de l'incident en cours Ingestion d’incident en cours que l’instance Now Platform extrait du locataire pour les Microsoft Azure nouveaux incidents. Les incidents de sécurité sont créés si des incidents déclenchés sont détectés et que les critères de filtrage de génération d’incident correspondent.
      Incrémentation du sondage (minutes) Fréquence d’interrogation définie en minutes.
      Définir le délai d'intégration de l'incident L’ingestion d’incident basée sur la date et l’heure configurées.

      Vous pouvez utiliser cette option pour définir une date et une heure spécifiques pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.
      Délai d'intégration de l'incident d'entrée

      Date et heure que vous spécifiez pour l’ingestion de l’incident.
      Récupération ponctuelle Cochez cette case pour autoriser la récupération unique des incidents Azure Sentinel historiques, puis procéder au rapprochement des données. Lorsque vous sélectionnez ce checkox, l’application extrait tous les incidents Azure Sentinel ouverts et fermés pour la période allant jusqu’à 6 mois environ.

      Lors du traitement des données, les incidents en cours et les données historiques sont tous deux extraits, mais le traitement des incidents en cours prévaut sur l’extraction historique. Sinon, l’extraction historique peut prendre un certain temps en fonction de la durée et du nombre d’incidents que vous ingérez.

      Remarque :
      Les incidents Azure Sentinel historiques récupérés sont soumis à des vérifications de déduplication afin d’éviter tout doublon dans l’application Security Incident Response.
      Depuis date Date depuis laquelle les incidents historiques sont ingérés à partir d’Azure Sentinel.
      Remarque :
      Les données sur les incidents sont extraites approximativement des 6 derniers mois.

      La page de planification vous permet de définir comment et quand les Microsoft Azure incidents sont extraits du locataire.

    2. Pour accéder à la page Options supplémentaires, cliquez sur Continuer.