Programar a Microsoft Azure Sentinel recuperação de incidente

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e para incluir os Microsoft Azure Sentinel incidentes que correspondem aos critérios no perfil.

    Antes de Iniciar

    Função necessária: sn_sni.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar com que frequência deseja pesquisar futuros Microsoft Azure Sentinel incidentes que correspondam à configuração do perfil de incidente.

    Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. Para definir uma data e hora específicas para a ingestão inicial, habilite definir tempo de ingestão de incidente. A ingestão subsequente é baseada no período de intervalo de pesquisa.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho da integração de incidente Microsoft Azure Sentinel. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente. Um valor padrão de um minuto é definido para todos os perfis. Você pode modificar esta configuração com base na urgência do incidente e na carga antecipada em seu sistema.

    Todos os alertas adicionados ao incidente em um intervalo de pesquisa específico, haverá um processo executado e, em seguida, anexado às listas relacionadas de alertas do Azure Sentinel e a anotação de trabalho também será publicada.

    Procedimento

    1. No formulário de programação, preencha os campos.

      Configure a programação para definir como e quando você extrai incidentes do locatário Microsoft Azure.

      Tabela 1. Formulário de programação
      Campo Descrição
      Ingestão de incidentes em andamento Ingestão de incidentes em andamento que a instância Now Platform extrai do locatário Microsoft Azure para novos incidentes. Os incidentes de segurança serão criados se forem encontrados incidentes acionados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) Frequência de pesquisa definida em minutos.
      Definir tempo de ingestão do incidente Ingestão de incidente que se baseia na data e hora configuradas.

      Você pode usar esta opção para definir uma data e hora específicas para a ingestão inicial. As adições subsequentes são baseadas no período de intervalo de pesquisa.
      Tempo de adição do incidente de entrada

      Data e hora que você especifica para a ingestão de incidentes.
      Recuperação Única Marque esta caixa de seleção para permitir a recuperação única de incidentes históricos do Azure Sentinel e fazer a reconciliação dos dados. Quando você seleciona este check-ox, a aplicação extrai todos os incidentes do Azure Sentinel abertos e fechados pelo período de até 6 meses aproximadamente.

      Ao processar os dados, os incidentes em andamento e os dados históricos são extraídos, mas o processamento dos incidentes em andamento tem precedência sobre a extração histórica e, caso contrário, a extração histórica pode levar algum tempo com base na duração e no número de incidentes que você está ingerindo .

      Nota:
      Os incidentes históricos do Azure Sentinel recuperados passam por verificações de desduplicação para evitar duplicações na aplicação Security Incident Response.
      Desde a data A data desde quando os incidentes históricos são ingeridos do Azure Sentinel.
      Nota:
      Os dados do incidente são extraídos aproximadamente dos últimos 6 meses.

      A página de programação permite que você defina como e quando os incidentes são extraídos do locatário Microsoft Azure.

    2. Para navegar até a página Opções adicionais, clique em Continuar.