Définir un calendrier pour l’ingestion de ticket CTP SecureWorks

Rversion finale: Xanadu

Mis à jour 1 août 2024

2 minutes de lecture

Vérifiez les paramètres par défaut pour la récupération des tickets ou modifiez la planification selon vos besoins. Cette étape vous permet de filtrer votre récupération de ticket en fonction d’une plage de dates et d’un intervalle d’interrogation.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Vous choisissez également la fréquence à laquelle vous interrogerez les futurs tickets qui correspondent à la configuration du profil de ticket. Configurez ces intervalles d’interrogation pour chaque profil. Lors de la planification, vous préférerez peut-être équilibrer la charge du système par rapport à l’urgence de l’incident. Une valeur par défaut d’une minute est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

Procédure

Si la page Planification de la barre de progression n’est pas affichée, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les tickets sont extraits du Secureworks CTP portail.

Option	Description
Ingestion de ticket en cours sélectionnée	En fonction du paramètre par défaut, l’instance Now Platform extrait du portail pour recevoir Secureworks CTP de nouveaux tickets toutes les cinq minutes. Les incidents de sécurité sont créés si des tickets sont trouvés et si les critères de filtrage de génération d’incidents sont respectés. Pour équilibrer l’ingestion des tickets par rapport à la charge du serveur et extraire les données les plus récentes, cinq minutes sont peut-être le paramètre que vous préférez. Toutefois, cette valeur peut être modifiée si nécessaire.
Ingestion de ticket en cours sélectionnée Définir le délai d'intégration du ticket initial	Délai d’ingestion initial Si vous souhaitez planifier l’ingestion initiale à une heure précise, procédez comme suit : Sélectionnez les champs Ingestion de ticket en cours et Définir la durée d’ingestion du ticket initial. Spécifiez l’heure dans le champ Délai d’intégration du ticket initial d’entrée. L’ingestion initiale aura lieu à l’heure spécifiée ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrémentation de l’interrogation (minutes). À titre d’exemple de planification, si vous avez une tâche de ticket quotidien qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil de ticket correspondant dans votre instance Now Platform pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement le ticket et créer un incident de sécurité. Saisissez 04 05 00 dans le champ Ingestion de ticket initiale. Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion de ticket dans les 24 heures suivant l’ingestion initiale du ticket. Le délai d’intégration du ticket initial et le délai d’intégration du ticket suivant sont affichés dans les champs. Pour configurer les paramètres de cet exemple, procédez comme suit : Sélectionnez l’option Ingestion de ticket en cours . Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures). Sélectionnez l’option Définir le délai d’intégration du ticket initial . Dans le champ Délai d’intégration du ticket initial d’entrée, saisissez 04 05 00. L’heure de la prochaine ingestion du ticket est affichée dans le champ Délai d’ingestion du ticket suivant (estimé).

Option

Description

Ingestion de ticket en cours sélectionnée

En fonction du paramètre par défaut, l’instance Now Platform extrait du portail pour recevoir Secureworks CTP de nouveaux tickets toutes les cinq minutes. Les incidents de sécurité sont créés si des tickets sont trouvés et si les critères de filtrage de génération d’incidents sont respectés. Pour équilibrer l’ingestion des tickets par rapport à la charge du serveur et extraire les données les plus récentes, cinq minutes sont peut-être le paramètre que vous préférez. Toutefois, cette valeur peut être modifiée si nécessaire.

Ingestion de ticket en cours sélectionnée
Définir le délai d'intégration du ticket initial

Délai d’ingestion initial

Si vous souhaitez planifier l’ingestion initiale à une heure précise, procédez comme suit :

Sélectionnez les champs Ingestion de ticket en cours et Définir la durée d’ingestion du ticket initial.
Spécifiez l’heure dans le champ Délai d’intégration du ticket initial d’entrée.

L’ingestion initiale aura lieu à l’heure spécifiée ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrémentation de l’interrogation (minutes).

À titre d’exemple de planification, si vous avez une tâche de ticket quotidien qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil de ticket correspondant dans votre instance Now Platform pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement le ticket et créer un incident de sécurité.

Saisissez 04 05 00 dans le champ Ingestion de ticket initiale. Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion de ticket dans les 24 heures suivant l’ingestion initiale du ticket. Le délai d’intégration du ticket initial et le délai d’intégration du ticket suivant sont affichés dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit :

Sélectionnez l’option Ingestion de ticket en cours .
Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures).
Sélectionnez l’option Définir le délai d’intégration du ticket initial .
Dans le champ Délai d’intégration du ticket initial d’entrée, saisissez 04 05 00. L’heure de la prochaine ingestion du ticket est affichée dans le champ Délai d’ingestion du ticket suivant (estimé).

Cliquez sur Continuer pour accéder à la page Options supplémentaires.