Revisar as configurações de integração Microsoft Azure Sentinel

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Revise as configurações de integração Microsoft Azure Sentinel para que você possa modificar as propriedades do sistema para adequá-las ao seu ambiente.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Navegar até Todos > Integração do Microsoft Azure Sentinel > Configurações de integração do Azure Sentinel.
    2. Modifique as configurações a seguir conforme necessário.
      Tabela 1. Microsoft Azure Sentinel Configurações de integração
      Nome da Propriedade Descrição
      Imponha um limite no número de dias para os quais os dados de amostra podem ser obtidos.

      sn_sec_sentinel.max_num_of_days_for_sample_data

      		 Número máximo de dias para os quais você pode buscar dados de amostra do ambiente Microsoft Azure Sentinel.

      Tipo: inteiro

      Valor padrão: 7
      Receba atualizações relacionadas a novos alertas vinculados ao SIR.

      sn_sec_sentinel.incident_updates

      Ative a opção para receber atualizações de incidentes.

      Tipo: booleano

      Valor padrão: Verdadeiro
      O caractere delimitador para dividir os valores em mapeamentos de campo Microsoft Azure Sentinel.

      sn_sec_sentinel.delimiter

      		 O caractere delimitador para dividir os valores em mapeamentos de campo Microsoft Azure Sentinel.

      Tipo: cadeia de caracteres

      Valor padrão: ', ' (vírgula com espaço)
      Imponha um limite no número de incidentes de amostra que podem ser obtidos.

      sn_sec_sentinel.max_num_of_sample_incident_per_call

      Número máximo de incidentes de amostra que você busca no ambiente Microsoft Azure Sentinel para ingestão.

      Tipo: inteiro

      Valor padrão:5

      Valor máximo de amostra: 20
      Imponha um limite no número de incidentes do Sentinel que podem ser agregados a um único incidente.

      sn_sec_sentinel.max_aggregations_per_si

      Limite de agregação de incidentes de segurança. Por exemplo, se houver 102 incidentes, os primeiros 100 serão agregados ao security incident_1 e os 2 restantes ao security incident_2.

      Tipo: inteiro

      Valor padrão: 100
      Imponha um limite para o número de incidentes de segurança que podem ser criados em um período de 24 horas.

      sn_sec_sentinel.max_si_per_day

      Número máximo de incidentes de segurança que podem ser criados em um período de 24 horas no Now Platform.

      Tipo: inteiro

      Valor padrão: 1000
      Limite máximo de paginação para buscar os dados do incidente em uma chamada REST.

      sn_sec_sentinel.max_page_size

      Limite de paginação para buscar os dados do incidente em uma chamada REST do ambiente Microsoft Azure Sentinel.

      Tipo: inteiro

      Valor padrão: 100
      Valor da versão da API para incidentes.

      sn_sec_sentinel.sentinel_security_incident_api_version

      		 A versão da API da Microsoft para recuperar incidentes do Sentinel.

      Valor padrão: 2021-10-01
      Valor da versão da API para alertas.

      sn_sec_sentinel.sentinel_security_alert_api_version

      		 A versão da API da Microsoft para recuperar alertas do Sentinel.

      Valor padrão: 2021-10-01
      Valor da versão da API para entidades.

      sn_sec_sentinel.sentinel_security_entities_api_version

      		 A versão da API da Microsoft para recuperar entidades do Sentinel.

      Valor padrão: 2021-10-01

      sn_sec_sentinel.log.verbosity

      		 O nível de detalhamento do log da aplicação, ou seja, o nome do tipo de informação. Você também pode atualizar o valor para as seguintes opções:
      • error
      • aviso
      • informações
      • depurar

      Valor padrão: informações.
    3. Clique em Salvar.
      Suas configurações de integração modificadas são aplicadas no próximo intervalo de pesquisa, conforme definido no perfil.