Définir le calendrier pour l’intégration de l’API de sécurité Microsoft Graph

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vérifiez les paramètres par défaut pour la récupération d’alerte ou modifiez la planification selon vos besoins. Cette étape vous permet de filtrer la récupération d’alerte en fonction d’une plage de dates.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Vous choisissez également la fréquence à laquelle vous interrogerez les futures alertes qui correspondent à la configuration du profil d’alerte. Pour les profils d’ingestion d’alertes automatisés, avant que le profil ne soit activé, vous vérifiez et modifiez la planification et la récupération d’alerte. Cette étape est nécessaire pour les profils d’alertes planifiées.

    En tant qu’utilisateur doté du rôle sn_si.admin, vous configurez ces intervalles d’interrogation pour chaque profil. Les performances de l’intégration de l’ingestion API de sécurité Microsoft Graph d’alertes sont impactées par les différents intervalles d’interrogation. Lors de la planification, vous préférerez peut-être équilibrer la charge du système par rapport à l’urgence de l’incident. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférerez peut-être modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

    Procédure

    1. Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.
    2. Choisissez-en un pour planifier comment Microsoft Azure et quand les alertes sont extraites du locataire.
      OptionDescription
      Ingestion d’alerte en cours sélectionnée En fonction du paramètre par défaut, l’instance Now Platform extrait du locataire de nouvelles Microsoft Azure alertes toutes les cinq minutes. Les incidents de sécurité sont créés si des alertes déclenchées sont trouvées et si les critères de filtrage de génération d’incidents correspondent. Pour équilibrer l’ingestion d’alertes par rapport à la charge du serveur et extraire les données les plus récentes, vous préférerez peut-être cinq minutes. Toutefois, cette valeur peut être modifiée si nécessaire.
      • Ingestion d’alerte en cours sélectionnée
      • Définir le délai d’ingestion de l’alerte initiale
      		 Délai d’intégration initial
      Si vous souhaitez planifier l’ingestion initiale à un moment précis, procédez comme suit :
      • Sélectionnez les champs Réception d’alerte en cours et Définir l’heure d’ingestion de l’alerte initiale.
      • Spécifiez l’heure dans le champ Heure d’ingestion de l’alerte initiale d’entrée.

      L’ingestion initiale aura lieu au moment spécifié ici. Les ingestions suivantes seront basées sur le calendrier défini dans le champ Incrément d’interrogation (minutes).

      Par exemple, pour la planification, si vous avez une tâche d’alerte quotidienne qui s’exécute une fois par jour à 4 h (heure locale), vous pouvez configurer le profil d’alerte correspondant dans votre instance Now Platform pour qu’il s’exécute à 4 h 05 (heure locale) afin de capturer immédiatement l’alerte et créer un incident de sécurité.

      Entrez 04 05 00 dans le champ Ingestion d’alerte initiale. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’alerte pendant 24 heures à compter de l’ingestion d’alerte initiale. Les heures d’ingestion de l’alerte initiale et d’ingestion de l’alerte suivante sont affichées dans les champs.

      Pour configurer les paramètres de cet exemple, procédez comme suit :
      • Sélectionnez l’option Ingestion d’alerte en cours .
      • Dans le champ Incrémentation de l’interrogation (minutes), saisissez 1 440 (24 heures).
      • Cliquez sur l’option Définir le délai d’ingestion de l’alerte initiale pour activer la modification des champs Délai d’ingestion de l’alerte initiale et Délai d’ingestion de l’alerte suivante (estimé).
      • Dans le champ Délai d’ingestion de l’alerte initiale, saisissez 04 05 00. L’heure de la prochaine ingestion d’alerte (estimée) s’affiche dans le champ Heure d’ingestion de la prochaine alerte.
      Champ de récupération ponctuelle sélectionné Récupération ponctuelle

      Utilisez cette configuration si vous souhaitez une transmission par pull unique pour ingérer des alertes historiques.

      Lorsque ce paramètre est configuré, un profil est utilisé une seule fois pour récupérer les alertes des événements historiques basés sur une plage de dates. À droite du champ Date de depuis, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Date de début, les alertes sont récupérées jusqu’à la date actuelle. Notez que vous pouvez remonter jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités significatives d’alertes historiques, mais plutôt une quantité minimale d’alertes en cours d’utilisation au moment de l’activation du profil.

      Une fois les alertes extraites, ce paramètre ne récupère pas d’autres alertes pour ce profil à partir de la date actuelle. Ce paramètre remplit l’incident de sécurité avec toutes les alertes trouvées pour la plage que vous saisissez.
    3. Cliquez sur Continuer pour accéder à la page Options supplémentaires.