Planifier la récupération de l’incident Microsoft Azure Sentinel

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

Définissez un calendrier pour récupérer les données d’incident et ingérer les Microsoft Azure Sentinel incidents qui correspondent aux critères du profil.

Avant de commencer

Rôle requis : sn_sni.admin

Pourquoi et quand exécuter cette tâche

Vous pouvez planifier la fréquence à laquelle vous souhaitez interroger les incidents futurs Microsoft Azure Sentinel qui correspondent à la configuration de profil d’incident.

Pour activer l’ingestion automatisée d’incidents, vous devez configurer la planification et la récupération des incidents avant d’activer le profil. Pour définir une date et une heure spécifiques pour l’ingestion initiale, activez l’option Définir le délai d’ingestion des incidents. L’ingestion suivante est basée sur la période de l’intervalle d’interrogation.

L’intervalle d’interrogation est configuré individuellement pour chaque profil. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration Microsoft Azure Sentinel des incidents. Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident. Une valeur par défaut d’une minute est définie pour tous les profils. Vous pouvez modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

Toutes les alertes qui sont ajoutées à l’incident dans un intervalle d’interrogation particulier sont exécutées par un processus, puis ajoutées aux listes connexes d’alertes Azure Sentinel et une note de travail est également publiée.

Procédure

Renseignez les champs du formulaire de planification.

Configurez le calendrier pour définir comment et quand extraire les Microsoft Azure incidents du locataire.

Tableau 1. Formulaire de planification
Champ	Description
Intégration de l'incident en cours	Ingestion d’incident en cours que l’instance Now Platform extrait du Microsoft Azure locataire pour les nouveaux incidents. Les incidents de sécurité sont créés si des incidents déclenchés sont détectés et que les critères de filtrage de génération d’incidents correspondent.
Incrémentation du sondage (minutes)	Fréquence d’interrogation définie en minutes.
Définir le délai d'intégration de l'incident	Ingestion d’incident basée sur la date et l’heure configurées. Vous pouvez utiliser cette option pour définir une date et une heure spécifiques pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.
Délai d'intégration de l'incident d'entrée	Date et heure que vous spécifiez pour l’ingestion de l’incident.
Récupération ponctuelle	Cochez cette case pour permettre la récupération unique des incidents Azure Sentinel historiques, puis procédez au rapprochement des données. Lorsque vous sélectionnez ce point de cochage, l’application extrait tous les incidents Azure Sentinel ouverts et fermés pour la période allant jusqu’à 6 mois environ. Lors du traitement des données, les incidents en cours et les données historiques sont tous deux extraits, mais le traitement des incidents en cours prime sur l’extraction historique et, dans le cas contraire, l’extraction historique peut prendre un certain temps en fonction de la durée et du nombre d’incidents que vous ingérez. Remarque : Les incidents Azure Sentinel historiques récupérés sont soumis à des contrôles de déduplication afin d’éviter tout doublon dans l’application Réponse aux incidents de sécurité.
Depuis date	Date depuis laquelle les incidents historiques sont ingérés à partir d’Azure Sentinel. Remarque : Les données d’incident sont extraites approximativement des 6 derniers mois.

La page de planification vous permet de définir comment et quand les incidents sont extraits du Microsoft Azure locataire.

Pour accéder à la page Options supplémentaires, cliquez sur Continuer.