Planifier la récupération de l’incident DLP IR Microsoft

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Définissez un calendrier pour récupérer les données d’incident et ingérer les Microsoft DLP IR incidents qui correspondent aux critères du profil. Configurez le calendrier pour définir comment et quand extraire des incidents de Microsoft.

    Avant de commencer

    Rôle requis : sn_dlir.admin(Créer, modifier et supprimer)

    sn_dlir.analyst : vue (lecture seule)

    Pourquoi et quand exécuter cette tâche

    Vous pouvez planifier la fréquence à laquelle vous interrogerez les incidents futurs qui correspondent à la configuration du profil d’incident. Pour activer l’ingestion automatisée d’incidents, vous devez configurer la planification et la récupération des incidents avant d’activer le profil. Le profil peut être configuré pour effectuer une récupération ponctuelle à l’aide de la case à cocher Récupération ponctuelle . La date historique peut aller jusqu’aux trois derniers mois à compter de la date actuelle.

    L’intervalle d’interrogation est configuré individuellement pour chaque profil. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration Microsoft DLP IR des incidents. Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident.

    Procédure

    1. Définissez un calendrier pour récupérer les données et ingérer les incidents qui correspondent aux critères du profil.
    2. Renseignez les champs du formulaire.
      Tableau 1. Calendrier du formulaire d’incident DLP
      Champ Description
      Intégration de l'incident en cours L’ingestion d’incidents en cours que l’instance extrait de Microsoft pour les nouveaux incidents. DLP IR Les incidents sont créés si des Now Platform incidents déclenchés sont trouvés et si les critères de filtrage de génération d’incidents correspondent.
      Incrémentation du sondage (minutes) Fréquence d’interrogation de Microsoft. Ce champ est automatiquement défini sur 300 minutes.
      Définir le délai d'intégration de l'incident initial Option permettant de définir une date et une heure pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.

      Cette option n’est visible que lorsque le champ Ingestion d’incident en cours est sélectionné.
      Délai d'intégration de l'incident initial d'entrée Date et heure que vous spécifiez pour l’ingestion de l’incident.
      • Si la valeur est définie, la récupération des données auprès de Microsoft commencera à partir de la date ultérieure ajoutée.
      • Ce champ n’est visible que lorsque l’option Définir le délai d’ingestion initial est sélectionnée.
      Délai d'intégration de l'incident initial Première fois que les données sont ingérées.

      Vous pouvez voir que ces valeurs commencent à s’afficher lorsque le délai d’intégration de l’incident initial est défini.
      Délai d'intégration de l'incident suivant (estimé) Période suivante pour une ingestion d’incident estimée.
      Récupération ponctuelle Option permettant d’activer les extractions ponctuelles de données historiques.

      Si ce champ est sélectionné, les données historiques sont extraites de Microsoft DLP IR en fonction de la date ajoutée dans le champ Date de début .
      Date de début Date à partir de laquelle les données sont censées être récupérées à partir de Microsoft.

      Ce champ peut être défini sur un maximum de 7 jours.
    3. Enregistrez la configuration de profil créée en cliquant sur Terminer dans la fenêtre contextuelle.
    4. Activez le profil.
      1. Ouvrez le profil créé.
      2. Activez l’option Actif .
      3. Cliquez sur Mettre à jour.

    Résultats

    Une fois le profil créé et activé avec succès, les incidents sont récupérés périodiquement selon la configuration définie dans le profil et ajoutés à la table des incidents DLP.