Definir programação para integração da API de segurança do Microsoft Graph

Versão de lançamento: Washingtondc

Atualizado 1 de fev. de 2024

3 min. de leitura

Verifique as configurações padrão para recuperação de alerta ou modifique a programação conforme necessário. Esta etapa permite filtrar a recuperação do alerta com base em um intervalo de datas.

Antes de Iniciar

Função necessária: sn_si.admin

Por Que e Quando Desempenhar Esta Tarefa

Você também escolhe com que frequência pesquisará alertas futuros que correspondam à configuração do perfil de alerta. Para perfis de ingestão de alertas automatizados, antes de o perfil ser ativado, você verifica e modifica a programação e a recuperação do alerta. Esta etapa é necessária para perfis de alerta programados.

Como um usuário com a função sn_si.admin, você configura esses intervalos de pesquisa por perfil. O desempenho da integração de ingestão de alertas API de Segurança do Microsoft Graph é afetado pelos diferentes intervalos de pesquisa. Ao programar, talvez você prefira equilibrar a carga do sistema em relação à urgência do incidente. Um valor padrão de cinco minutos é definido para qualquer perfil, mas você pode preferir modificar essa configuração com base na urgência do incidente e na carga antecipada em seu sistema.

Procedimento

Se a página Programação na barra de andamento não for exibida, selecione Programação.

Escolha um para programar como e quando os alertas são extraídos do locatário Microsoft Azure.

Opção	Descrição
Ingestão de alertas em andamento selecionada	Com base na configuração padrão, a instância da Now Platform extrai do locatário Microsoft Azure para novos alertas a cada cinco minutos. Os incidentes de segurança serão criados se os alertas acionados forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a ingestão de alertas em relação à carga do servidor e extrair os dados mais atuais, cinco minutos é a configuração que você pode preferir. No entanto, este valor pode ser modificado conforme necessário.
Ingestão de alertas em andamento selecionada Definir tempo de ingestão do alerta inicial	Tempo de ingestão inicial Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas: Selecione os campos Ingestão de alertas em andamento e Definir tempo de ingestão do alerta inicial. Especifique a hora no campo Inserir tempo de ingestão do alerta inicial. A ingestão inicial ocorrerá no horário especificado aqui. As adições subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos). Como exemplo de programação, se você tiver um trabalho de alerta diário que é executado uma vez por dia às 4h no horário local, é possível configurar o perfil de alerta correspondente em sua instância da Now Platform para ser executado às 4h05 no horário local para capturar o alerta imediatamente e crie um incidente de segurança. Insira 04 05 00 no campo Ingestão de alerta inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de alerta por 24 horas a partir da ingestão de alerta inicial. O tempo de ingestão do alerta inicial e o próximo tempo de ingestão do alerta são exibidos nos campos. Para definir as configurações neste exemplo, siga estas etapas: Selecione a opção Adição de alertas contínuos. No campo Incremento de pesquisa (minutos), insira 1440 (24 horas). Clique na opção Definir tempo de ingestão do alerta inicial para habilitar a edição dos campos Tempo de ingestão do alerta inicial e Tempo de ingestão do próximo alerta (estimado). No campo Tempo de ingestão do alerta inicial, insira 04 05 00. No campo Hora da próxima ingestão de alerta (estimada), a hora da próxima ingestão de alerta é exibida.
Campo de recuperação única selecionado	Recuperação Única Use esta configuração se quiser que uma extração única inclua alertas históricos. Quando esta configuração é definida, um perfil é usado uma vez para recuperar alertas de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com o valor de data Desde, os alertas são recuperados até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de alertas históricos, mas sim uma quantidade mínima de alertas em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil. Depois que os alertas forem extraídos, esta configuração não recuperará mais alertas para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os alertas encontrados para o intervalo inserido.

Opção

Descrição

Ingestão de alertas em andamento selecionada

Com base na configuração padrão, a instância da Now Platform extrai do locatário Microsoft Azure para novos alertas a cada cinco minutos. Os incidentes de segurança serão criados se os alertas acionados forem encontrados e os critérios de filtragem de geração de incidentes forem correspondidos. Para equilibrar a ingestão de alertas em relação à carga do servidor e extrair os dados mais atuais, cinco minutos é a configuração que você pode preferir. No entanto, este valor pode ser modificado conforme necessário.

Ingestão de alertas em andamento selecionada
Definir tempo de ingestão do alerta inicial

Tempo de ingestão inicial

Se você quiser programar a ingestão inicial em um horário específico, siga estas etapas:

Selecione os campos Ingestão de alertas em andamento e Definir tempo de ingestão do alerta inicial.
Especifique a hora no campo Inserir tempo de ingestão do alerta inicial.

A ingestão inicial ocorrerá no horário especificado aqui. As adições subsequentes serão baseadas na programação definida no campo Incremento de pesquisa (minutos).

Como exemplo de programação, se você tiver um trabalho de alerta diário que é executado uma vez por dia às 4h no horário local, é possível configurar o perfil de alerta correspondente em sua instância da Now Platform para ser executado às 4h05 no horário local para capturar o alerta imediatamente e crie um incidente de segurança.

Insira 04 05 00 no campo Ingestão de alerta inicial. No campo Incrementar (minutos), insira 1440 (24 horas) para programar a próxima ingestão de alerta por 24 horas a partir da ingestão de alerta inicial. O tempo de ingestão do alerta inicial e o próximo tempo de ingestão do alerta são exibidos nos campos.

Para definir as configurações neste exemplo, siga estas etapas:

Selecione a opção Adição de alertas contínuos.
No campo Incremento de pesquisa (minutos), insira 1440 (24 horas).
Clique na opção Definir tempo de ingestão do alerta inicial para habilitar a edição dos campos Tempo de ingestão do alerta inicial e Tempo de ingestão do próximo alerta (estimado).
No campo Tempo de ingestão do alerta inicial, insira 04 05 00. No campo Hora da próxima ingestão de alerta (estimada), a hora da próxima ingestão de alerta é exibida.

Campo de recuperação única selecionado

Recuperação Única

Use esta configuração se quiser que uma extração única inclua alertas históricos.

Quando esta configuração é definida, um perfil é usado uma vez para recuperar alertas de eventos históricos que são baseados em um intervalo de datas. À direita do campo Desde a data, clique no ícone de calendário. No calendário exibido, selecione a data em que você deseja começar a extrair alertas. Começando com o valor de data Desde, os alertas são recuperados até a data atual. Observe que você pode retroceder até sete dias a partir da data atual. Esta funcionalidade não se destina a recuperar quantidades significativas de alertas históricos, mas sim uma quantidade mínima de alertas em andamento que estão sendo trabalhados ativamente no momento da ativação do perfil.

Depois que os alertas forem extraídos, esta configuração não recuperará mais alertas para este perfil a partir da data atual. Esta configuração preenche o incidente de segurança com todos os alertas encontrados para o intervalo inserido.

Clique em Continuar para navegar até a página Opções adicionais.