Programe o. Microsoft Azure Sentinel recuperação de incidentes

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e ingerir o. Microsoft Azure Sentinel incidentes que correspondem aos critérios no perfil.

    Antes de Iniciar

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar a frequência com que deseja pesquisar para o futuro Microsoft Azure Sentinel incidentes que correspondem à configuração do perfil de incidente.

    Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. Para definir uma data e hora específicas para a ingestão inicial, habilite defina o tempo de ingestão do incidente . A ingestão subsequente é baseada no período de intervalo de pesquisa.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho do Microsoft Azure Sentinel integração de incidentes. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente. Um valor padrão de um minuto é definido para todos os perfis. Você pode modificar essa configuração com base na urgência do incidente e na carga prevista em seu sistema.

    Todos os alertas adicionados ao incidente em um intervalo de pesquisa específico, haverá um processo executado e anexado às listas relacionadas aos alertas do Azure Sentinel e a anotação de trabalho também será publicada.

    Procedimento

    1. No formulário de programação, preencha os campos.

      Configure a programação para definir como e quando você extrai incidentes do Microsoft Azure locatário.

      Tabela 1. Formulário de programação
      Campo Descrição
      Ingestão de incidentes em andamento Ingestão de incidentes em andamento que o ServiceNow AI Platform a instância extrai do Microsoft Azure locatário para novos incidentes. Os incidentes de segurança serão criados se incidentes acionados forem encontrados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) Frequência de pesquisa definida em minutos.
      Definir tempo de ingestão do incidente Ingestão de incidente baseada na data e hora configuradas.

      Você pode usar esta opção para definir uma data e hora específicas para a ingestão inicial. As ingestões subsequentes são baseadas no período de intervalo de pesquisa.
      Tempo de adição do incidente de entrada

      Data e hora especificadas para a ingestão do incidente.
      Recuperação Única Marque esta caixa de seleção para permitir a recuperação única de incidentes históricos do Azure Sentinel e, em seguida, faça a reconciliação dos dados. Ao selecionar este checkox, a aplicação extrairá todos os incidentes do Azure Sentinel abertos e encerrados pelo período de até aproximadamente 6 meses.

      Ao processar os dados, os incidentes em andamento e os dados históricos são extraídos, mas o processamento dos incidentes em andamento tem precedência sobre a extração histórica e, caso contrário, a extração histórica pode levar algum tempo com base na duração e no número de incidentes que você está ingerindo.

      Nota:
      Os incidentes históricos recuperados do Azure Sentinel passam por verificações de desduplicação para evitar duplicatas na aplicação Resposta de incidentes de segurança.
      Desde a data A data desde quando os incidentes históricos são ingeridos do Azure Sentinel.
      Nota:
      Os dados do incidente são extraídos aproximadamente dos últimos 6 meses.

      A página de programação permite que você defina como e quando os incidentes são extraídos do Microsoft Azure locatário.

    2. Para navegar até a página Opções adicionais, clique em Continuar .