Criar um perfil para Microsoft Azure Sentinel

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 1 min. de leitura

    • Crie um perfil de incidente em sua instância Now Platform e determine os incidentes Microsoft Azure Sentinel que são adequados para criar incidentes de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    A integração permite criar diferentes tipos de incidentes, como tentativas de acesso não autorizadas e malware. Esses incidentes são criados com base nos perfis que você configura na instância Now Platform. Todos os incidentes são criados inicialmente para um tipo de incidente configurado em um perfil. Os incidentes criados podem ser filtrados para especificar quais incidentes criam incidentes de segurança.

    Todos os incidentes que atendem aos critérios de seleção em seu locatário Microsoft Azure e estão disponíveis na API Microsoft Azure Sentinel, são ingeridos inicialmente em sua instância Now Platform.

    Procedimento

    1. Navegar até Todos > Integração do Microsoft Azure Sentinel > Perfil de incidentes do Azure Sentinel.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Tabela 1. Microsoft Azure Sentinel - Formulário de configuração de ingestão de incidentes
      Campo Descrição
      Nome

      Nome do perfil.

      Este nome ajuda a identificar o tipo de perfil e também é o nome padrão para o marcador de segurança associado a este perfil.
      Ativo

      Indicador de que o perfil está ativo.

      Quando o perfil está ativo, isso indica que o Now Platform está pesquisando ativamente os incidentes do Azure Sentinel e que os incidentes de segurança correspondentes são criados em SIR quando as condições de filtragem são correspondidas.
      Origem Microsoft Azure locatário que você configurou para ingerir incidentes. Se você tiver vários locatários configurados, selecione o locatário apropriado para os tipos de incidentes que você planeja ingerir para o perfil.
      Ordem

      Prioridade de fluxo. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de acionamento.

      O fluxo com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.

      O padrão é 100.
      Descrição Texto extra para ajudá-lo a distinguir este perfil de outros perfis.
    4. Para passar para a seção Mapeamento, clique em Continuar.

    O que Fazer Depois

    Mapeie campos de incidentes Microsoft Azure Sentinel individuais para os campos no incidente de segurança Now Platform SIR.