インシデント取得のスケジュール
Microsoft Defenderインシデントが SIR にプルされる頻度を決定するスケジュールを設定して、タイムリーで効率的な取り込みを確実に行えます。
始める前に
必要なロール:sn_si.admin、sn_si.ingestion_profile_admin
手順
-
フォームのフィールドに入力します。
表 : 1. スケジュールフォーム フィールド 説明 進行中のインシデントの取り込み ServiceNow AI Platform インスタンスが新しいインシデント用に Microsoft テナントからプルする進行中のインシデントの取り込みを設定するオプション。トリガーされたインシデントが検出され、インシデント生成のフィルター基準が一致すると、セキュリティインシデントが作成されます。 ポーリングインクリメント (分) ポーリング頻度 (分単位) で定義されます。 インシデントの取り込み時刻を設定 最初の取り込みの日時を追加するオプション。
インシデントの取り込み時刻を入力 インシデントの取り込みに指定した日時。
1 回限りの取得 履歴 Microsoft Defender インシデントを 1 回だけ取得し、その後にデータを照合できるようにするオプション。 データを処理するときは、進行中のインシデントと履歴データの両方がプルされます。
注:取得された履歴 Microsoft Defender インシデントは、 セキュリティインシデントレスポンス アプリケーション内での重複を避けるために重複排除チェックが行われます。開始日 履歴インシデントが Microsoft から取り込まれてからの日付。