インシデント取得のスケジュール
スケジュールを構成して、Cortex XSIAM テナントからインシデントをプルする方法とタイミングを定義します。
始める前に
必要なロール:sn_si.admin、sn_si.ingestion_profile_admin
手順
-
フィルタリングおよび集計基準の前のセクションに進まない場合は、定義しているプロファイルにアクセスします。
- 移動先 すべて > Palo Alto Networks XSIAM > XSIAM プロファイル.
- 定義を続行するプロファイルを選択します。
- 進捗状況バーの [スケジュール] を選択します。
-
フォームのフィールドに入力します。
表 : 1. スケジュールフォーム フィールド 説明 進行中のインシデントの取り込み ServiceNow AI Platformインスタンスが新しいインシデント用に Cortex XSIAM テナントからプルする進行中のインシデントの取り込みを設定するオプション。トリガーされたインシデントが検出され、インシデント生成のフィルター基準が一致すると、セキュリティインシデントが作成されます。 ポーリングインクリメント (分) ポーリング頻度 (分単位) で定義されます。 インシデントの取り込み時刻を設定 最初の取り込みの日時を追加するオプション。
最初のインシデントの取り込み時刻 インシデントの取り込みに指定した日時。
1 回限りの取得 過去の Cortex XSIAM インシデントを 1 回だけ取得し、その後にデータを照合できるようにするオプション。 データを処理するときは、進行中のインシデントと履歴データの両方がプルされます。
注:取得された過去の Cortex XSIAM インシデントは、 セキュリティインシデントレスポンス アプリケーション内での重複を避けるために重複排除チェックが行われます。開始日 履歴インシデントが Cortex XSIAM から取り込まれてからの日付。 - [続行] を選択します。