Erstellen Sie ein Profil für Microsoft Azure Sentinel

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erstellen Sie ein Incident-Profil in Ihrer Instanz Now Platform, und bestimmen Sie die Microsoft Azure Sentinel Incidents, die zum Erstellen von Security Incidents geeignet sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Integration können Sie verschiedene Arten von Incidents erstellen, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese Incidents werden basierend auf den Profilen erstellt, die Sie in der Instanz Now Platform konfigurieren. Alle Incidents werden anfänglich für einen konfigurierten Incident-Typ in einem Profil erstellt. Erstellte Incidents können dann weiter gefiltert werden, um anzugeben, welche Incidents Security Incidents erstellen.

    Alle Incidents, die die Auswahlkriterien in Ihrem Microsoft Azure -Mandanten erfüllen und über die Microsoft Azure Sentinel -API verfügbar sind, werden anfänglich in Ihrer Now Platform -Instanz erfasst.

    Prozedur

    1. Navigieren zu Alle > Microsoft Azure Sentinel-Integration > Azure Sentinel-Incident-Profil.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Microsoft Azure Sentinel Formular „Konfiguration der Incident-Erfassung“.
      Feld Beschreibung
      Name

      Name für das Profil.

      Dieser Name hilft Ihnen, den Profiltyp zu identifizieren, und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv

      Indikator, der angibt, dass das Profil aktiv ist.

      Wenn das Profil aktiv ist, bedeutet dies, dass Now Platform Azure Sentinel-Incidents aktiv abfragt und entsprechende Security Incidents in SIR erstellt werden, wenn die Filterbedingungen übereinstimmen.
      Quelle Microsoft Azure -Mandanten, den Sie für die Erfassung von Incidents konfiguriert haben. Wenn Sie mehrere Mandanten konfiguriert haben, wählen Sie den entsprechenden Mandanten für die Incident-Typen aus, die Sie für das Profil erfassen möchten.
      Reihenfolge

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300, 400.

      Der Standardwert ist 100.
      Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
    4. Um zum Abschnitt „Zuordnung“ zu wechseln, klicken Sie auf Fortfahren.

    Nächste Maßnahme

    Ordnen Sie einzelne Microsoft Azure Sentinel Incident-Felder den Feldern im Now Platform SIR Security Incident zu.