Planen Sie Microsoft Azure SentinelIncident-Abruf

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und zu erfassen Microsoft Azure SentinelIncidents, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_sni.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie in der Zukunft abfragen möchten Microsoft Azure SentinelIncidents, die der Incident-Profilkonfiguration entsprechen.

    Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Planung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Aktivieren Sie, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren Legen Sie die Incident-Erfassungszeit fest . Die nachfolgende Erfassung basiert auf dem Abfrageintervall-Zeitraum.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die verschiedenen Abfrageintervalle können sich auf die Leistung von auswirken Microsoft Azure SentinelIncident-Integration. Planen Sie bei der Planung, dass die Systemlast gegen die Dringlichkeit eines Incidents ausgeglichen wird. Für alle Profile ist ein einminütiger Standardwert festgelegt. Sie können diese Einstellung basierend auf der Dringlichkeit des Incidents und der erwarteten Belastung Ihres Systems ändern.

    Alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, werden ausgeführt und dann an die zugehörigen Listen der Azure-Sicherheitswarnungen angehängt, und die Arbeitsnotiz wird ebenfalls veröffentlicht.

    Prozedur

    1. Füllen Sie im Zeitplanformular die Felder aus.

      Konfigurieren Sie den Zeitplan, um zu definieren, wie und wann Sie Incidents aus abrufen Microsoft AzureMandant.

      Tabelle : 1. Zeitplanformular
      Feld Beschreibung
      Fortlaufende Incident-Erfassung Laufende Incident-Erfassung, die der ist Now PlatformInstanz wird aus abgerufen Microsoft AzureMandant für neue Incidents. Security Incidents werden erstellt, wenn ausgelöste Incidents gefunden werden und die Filterkriterien für die Incident-Generierung übereinstimmen.
      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Incident-Erfassungszeit festlegen Incident-Erfassung, die auf dem konfigurierten Datum und der konfigurierten Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Abfrageintervall-Zeitraum.

      Eingabe Incident-Erfassungszeit

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.

      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um den einmaligen Abruf historischer Azure Sentinel-Incidents zu ermöglichen und dann den Abgleich der Daten durchzuführen. Wenn Sie diesen Checkkox auswählen, ruft die Anwendung alle offenen und geschlossenen Azure Sentinel-Incidents für den Zeitraum von ungefähr 6 Monaten ab.

      Bei der Verarbeitung der Daten werden sowohl laufende Incidents als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Incidents hat Vorrang vor dem historischen Abruf, und andernfalls kann der historische Abruf je nach Dauer und Anzahl der Incidents, die Sie erfassen, einige Zeit dauern.

      Hinweis:
      Die abgerufenen historischen Azure-Sentinel-Incidents werden Deduplizierungsprüfungen unterzogen, um Duplikate in der Anwendung „Reaktion auf Security Incidents“ zu verhindern.
      Seit Datum Das Datum, seit dem die historischen Incidents aus Azure Sentinel erfasst werden.
      Hinweis:
      Die Incident-Daten werden ungefähr aus den letzten 6 Monaten abgerufen.

      Auf der Planungsseite können Sie definieren, wie und wann Incidents aus abgerufen werden Microsoft AzureMandant.

    2. Klicken Sie auf, um zur Seite „zusätzliche Optionen“ zu navigieren Fahren Sie Fort .