Planifier la récupération des Centre de sécurité AWS résultats

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Définissez un calendrier pour récupérer les données des résultats et ingérer les Centre de sécurité AWS résultats qui correspondent aux critères du profil.

    Avant de commencer

    Rôle requis : sn_sni.admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez planifier la fréquence à laquelle vous souhaitez interroger pour obtenir des résultats futurs Centre de sécurité AWS qui correspondent à la configuration du profil de Centre de sécurité AWS résultat.

    L’intervalle d’interrogation est configuré individuellement pour chaque profil. Les différents intervalles d’interrogation peuvent avoir un impact sur les performances de l’intégration Centre de sécurité AWS des résultats. Lors de la planification, prévoyez d’équilibrer la charge du système par rapport à l’urgence d’un incident. Une valeur par défaut d’une minute est définie pour tous les profils. Vous pouvez modifier ce paramètre en fonction de l’urgence de l’incident et de la charge prévue sur votre système.

    Toutes les alertes ajoutées à l’incident dans un intervalle d’interrogation particulier sont traitées, puis ajoutées aux listes associées aux alertes et aux Centre de sécurité AWS commentaires.

    Procédure

    1. Renseignez les champs du formulaire de planification.

      Configurez le calendrier pour définir comment et quand extraire les Centre de sécurité AWS conclusions du locataire.

      Tableau 1. Formulaire de planification
      Champ Description
      Ingestion des résultats en cours Ingestion des résultats en cours que l’instance Now Platform extrait du locataire pour les Centre de sécurité AWS nouveaux incidents. Les incidents de sécurité sont créés si les résultats déclenchés sont trouvés et si les critères de filtrage de génération d’incident de sécurité correspondent.
      Résultats fermés du sondage Résultats d’interrogation qui ont été résolus.

      Ces résultats sont ingérés lors de l’ingestion de l’incident en cours.
      Incrémentation du sondage (minutes) Fréquence d’interrogation définie en minutes.
      Définir le délai d’ingestion du résultat initial Ingestion des conclusions basées sur la date et l’heure configurées.

      Vous pouvez utiliser cette option pour définir une date et une heure spécifiques pour l’ingestion initiale. Les ingestions suivantes sont basées sur la période de l’intervalle d’interrogation.
      Délai d’ingestion du résultat initial d’entrée

      Date et heure que vous spécifiez pour l’ingestion de l’incident.
      Récupération ponctuelle Cochez cette case pour permettre une récupération ponctuelle des résultats historiques Centre de sécurité AWS , puis procédez au rapprochement des données. Lorsque vous cochez cette case, l’application extrait tous les résultats ouverts et fermés Centre de sécurité AWS pour la période jusqu’à 90 jours environ.

      Lors du traitement des données, les résultats en cours et les données historiques sont extraits, mais le traitement des résultats en cours prime sur l’extraction historique. Dans le cas contraire, l’extraction historique peut prendre un certain temps en fonction de la durée et du nombre de résultats ingérés.

      Remarque :
      Les résultats historiques Centre de sécurité AWS récupérés sont soumis à des contrôles de déduplication pour empêcher tout doublon au sein de l’application Réponse aux incidents de sécurité .
      Depuis date Date depuis laquelle les résultats historiques sont ingérés à partir de Centre de sécurité AWS.
      Remarque :
      Les données sur les résultats sont extraites approximativement des 90 derniers jours.

      La page de planification vous permet de définir comment et quand les Centre de sécurité AWS résultats sont extraits du locataire.

    2. Pour accéder à la page Options supplémentaires, cliquez sur Continuer.