Erstellen Sie ein Profil für Microsoft Azure Sentinel

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Erstellen Sie ein Incident-Profil in Ihrem Now PlatformInstanz und bestimmen Microsoft Azure SentinelIncidents, die zum Erstellen von Security Incidents geeignet sind.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Mit der Integration können Sie verschiedene Arten von Incidents erstellen, z. B. nicht autorisierte Zugriffsversuche und Malware. Diese Incidents werden basierend auf den Profilen erstellt, die Sie in konfigurieren Now PlatformInstanz. Alle Incidents werden anfänglich für einen konfigurierten Incident-Typ in einem Profil erstellt. Erstellte Incidents können dann weiter gefiltert werden, um anzugeben, welche Incidents Security Incidents erstellen.

    Alle Incidents, die die Auswahlkriterien in erfüllen Microsoft AzureMandanten und sind über verfügbar Microsoft Azure SentinelAPI, werden anfänglich in erfasst Now PlatformInstanz.

    Prozedur

    1. Navigieren zu Alle > Microsoft Azure Sentinel-Integration > Azure Sentinel-Incident-Profilan.
    2. Klicken Sie auf Neu.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Microsoft Azure Sentinel – Konfigurationsformular für Incident-Erfassung
      Feld Beschreibung
      Name

      Name für das Profil.

      Dieser Name hilft Ihnen bei der Identifizierung des Profiltyps und ist auch der Standardname für das Sicherheits-Tag, das diesem Profil zugeordnet ist.
      Aktiv

      Indikator, dass das Profil aktiv ist.

      Wenn das Profil aktiv ist, bedeutet dies, dass Now PlatformFragt aktiv Azure Sentinel-Incidents ab und in denen entsprechende Security Incidents erstellt werden SIRWenn die Filterbedingungen erfüllt sind.
      Quelle Microsoft Azure Mandant, den Sie zum Erfassen von Incidents konfiguriert haben. Wenn Sie mehrere Mandanten konfiguriert haben, wählen Sie den entsprechenden Mandanten für die Incident-Typen aus, die Sie für das Profil erfassen möchten.
      Bestellung

      Flow-Priorität. Der Wert für dieses Feld gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn mindestens zwei Profile Auslösebedingungen teilen.

      Der Flow mit der niedrigsten Zahl hat die höchste Priorität.

      Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300, 400.

      Der Standardwert ist 100.
      Beschreibung Zusätzlicher Text, der Ihnen hilft, dieses Profil von anderen Profilen zu unterscheiden.
    4. Um zum Abschnitt „Zuordnung“ zu wechseln, klicken Sie auf Fahren Sie Fort .

    Nächste Maßnahme

    Ordnen Sie einzelne zu Microsoft Azure SentinelIncident-Felder zu den Feldern auf Now Platform SIRSecurity Incident.