インシデント取得 Microsoft Azure Sentinel スケジュール
インシデントデータを取得し、プロファイルの基準に一致する Microsoft Azure Sentinel インシデントを取り込むスケジュールを設定します。
始める前に
Microsoft は、Azure portal での Azure Sentinel エクスペリエンスの廃止を 2026 年 3 月から 2027 年 3 月に延長しました。
現在、セキュリティインシデントレスポンス (SIR) との Azure Sentinel 統合を使用している場合は、できるだけ早く新しい Defender ポータル統合に移行することを強くお勧めします。Defender 統合には、既存の Sentinel プロファイルを Defender プロファイルに自動的に変換する組み込みの移行ユーティリティが含まれており、移行後に Sentinel を介して作成されたインシデントの継続性を確保します。詳細については、「 Microsoft Sentinel から Defender への移行ガイド」を参照してください。
必要なロール:sn_si.ingestion_profile_admin
このタスクについて
インシデントの自動取り込みを有効にするには、プロファイルをアクティブ化する前に、スケジュールとインシデントの取得を設定する必要があります。最初の取り込みの具体的な日時を定義するには、[インシデントの取り込み時刻を設定] を有効にします。それ以降の取り込みはポーリング間隔の時間に基づいて決まります。
ポーリング間隔は、各プロファイルで個別に設定されます。ポーリング間隔が異なると、Microsoft Azure Sentinel インシデント統合のパフォーマンスに影響する可能性があります。スケジュールを設定するときは、インシデントの緊急度とシステム負荷のバランスを取るように計画してください。すべてのプロファイルに 1 分のデフォルト値が設定されています。この設定は、インシデントの緊急度とシステムの予想される負荷に基づいて変更できます。
特定のポーリング間隔でインシデントに追加されたアラートがある場合は、プロセスが実行されてから、Azure Sentinel アラート関連リストに追加され、作業メモも投稿されます。