Planen Sie Microsoft Azure SentinelIncident-Abruf
Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und zu erfassen Microsoft Azure SentinelIncidents, die den Kriterien im Profil entsprechen.
Vorbereitungen
Erforderliche Rolle: sn_sni.admin
Warum und wann dieser Vorgang ausgeführt wird
Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Planung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Aktivieren Sie, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren Legen Sie die Incident-Erfassungszeit fest . Die nachfolgende Erfassung basiert auf dem Abfrageintervall-Zeitraum.
Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die verschiedenen Abfrageintervalle können sich auf die Leistung von auswirken Microsoft Azure SentinelIncident-Integration. Planen Sie bei der Planung, dass die Systemlast gegen die Dringlichkeit eines Incidents ausgeglichen wird. Für alle Profile ist ein einminütiger Standardwert festgelegt. Sie können diese Einstellung basierend auf der Dringlichkeit des Incidents und der erwarteten Belastung Ihres Systems ändern.
Alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, werden ausgeführt und dann an die zugehörigen Listen der Azure-Sicherheitswarnungen angehängt, und die Arbeitsnotiz wird ebenfalls veröffentlicht.