Programar a DLP IR recuperação de incidente da Microsoft

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e ingerir Microsoft DLP IR incidentes que correspondam aos critérios no perfil. Configure a programação para definir como e quando você extrai incidentes de Microsoft.

    Antes de Iniciar

    Função necessária: sn_dlir.admin (criar, editar e excluir)

    sn_dlir.analyst - Exibir (somente leitura)

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar a frequência com que pesquisará incidentes futuros que correspondam à configuração do perfil de incidente. Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. O perfil pode ser configurado para fazer uma recuperação única usando a caixa de seleção Recuperação única. A data histórica pode ser até os últimos três meses a partir da data atual.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho da integração de incidente Microsoft DLP IR. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente.

    Procedimento

    1. Defina uma programação para recuperar dados e incluir incidentes que correspondam aos critérios no perfil.
    2. No formulário, preencha os campos.
      Tabela 1. Programação do formulário de incidente do DLP
      Campo Descrição
      Adição de incidentes em andamento A ingestão de incidentes em andamento que a instância Now Platform extrai da Microsoft para novos incidentes. DLP IR incidentes serão criados se incidentes acionados forem encontrados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) A frequência de pesquisa da Microsoft. Este campo é definido automaticamente como 300 minutos.
      Definir horário de adição do incidente inicial Opção para definir uma data e hora para a ingestão inicial. As adições subsequentes são baseadas no período de intervalo de pesquisa.

      Esta opção está visível somente quando o campo Ingestão de incidente em andamento está selecionado.
      Horário de entrada de adição do incidente inicial Data e hora que você especifica para a ingestão de incidentes.
      • Se o valor for definido, a recuperação de dados da Microsoft começará a partir da data futura adicionada.
      • Este campo fica visível somente quando Definir tempo de ingestão inicial é selecionado.
      Horário de adição do incidente inicial Primeira vez em que os dados são ingeridos.

      Você pode ver que os valores começam a aparecer quando o tempo de ingestão do incidente inicial é definido.
      Horário de adição do próximo incidente (estimado) O próximo período para uma ingestão de incidente estimada.
      Recuperação Única Opção para habilitar extrações de dados históricos únicas.

      Se este campo for selecionado, os dados históricos serão extraídos da Microsoft DLP IR de acordo com a data adicionada ao campo Desde a data.
      Desde a Data Data a partir da qual os dados devem ser recuperados da Microsoft.

      Este campo pode ser definido para um máximo de 7 dias.
    3. Salve a configuração de perfil criada clicando em Concluir na janela pop-up.
    4. Ative o perfil.
      1. Abra o perfil criado.
      2. Habilite a opção Ativo.
      3. Clique em Atualizar.

    Resultado

    Após a criação e a ativação bem-sucedidas do perfil, os incidentes são recuperados periodicamente de acordo com a configuração definida no perfil e adicionados à tabela de incidentes do DLP.