Créer un profil pour Microsoft Azure Sentinel

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Créez un profil d’incident dans votre Now Platform instance et déterminez les Microsoft Azure Sentinel incidents qui se prêtent à la création d’incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    L’intégration vous permet de créer différents types d’incidents, tels que des tentatives d’accès non autorisé et des programmes malveillants. Ces incidents sont créés en fonction des profils que vous configurez dans l’instance Now Platform . Tous les incidents sont initialement créés pour un type d’incident configuré dans un profil. Les incidents créés peuvent ensuite être filtrés davantage pour spécifier quels incidents créent des incidents de sécurité.

    Tous les incidents qui répondent aux critères de sélection dans votre Microsoft Azure locataire et qui sont disponibles via l’API Microsoft Azure Sentinel sont initialement ingérés dans votre Now Platform instance.

    Procédure

    1. Accédez à la Tout > Intégration de Microsoft Azure Sentinel > Profil d'incident Azure Sentinel.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Microsoft Azure Sentinel - Formulaire Configuration de l’ingestion d’incident
      Champ Description
      Nom

      Nom du profil.

      Ce nom vous permet d’identifier le type de profil et constitue également le nom par défaut de la balise de sécurité associée à ce profil.
      Actif

      Indique que le profil est actif.

      Lorsque le profil est actif, cela implique que l’interroge Now Platform activement les incidents Azure Sentinel et que les incidents de sécurité correspondants sont créés lorsque SIR les conditions de filtrage sont vérifiées.
      Source Microsoft Azure locataire que vous avez configuré pour ingérer des incidents. Si vous avez configuré plusieurs locataires, sélectionnez le locataire approprié pour les types d’incidents que vous prévoyez d’ingérer pour le profil.
      Commande

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux avec le numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      La valeur par défaut est 100.
      Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.
    4. Pour passer à la section Mappage, cliquez sur Continuer.

    Que faire ensuite

    Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident Now Platform SIR de sécurité.