Créer un profil pour Microsoft Azure Sentinel

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Créez un profil d’incident dans votre ServiceNow AI Platform instance et déterminez les Microsoft Azure Sentinel incidents qui se prêtent à la création d’incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.ingestion_profile_admin

    Remarque :
    Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut.

    Pourquoi et quand exécuter cette tâche

    L’intégration vous permet de créer différents types d’incidents, tels que des tentatives d’accès non autorisé et des programmes malveillants. Ces incidents sont créés en fonction des profils que vous configurez dans l’instance ServiceNow AI Platform . Tous les incidents sont initialement créés pour un type d’incident configuré dans un profil. Les incidents créés peuvent ensuite être filtrés davantage pour spécifier quels incidents créent des incidents de sécurité.

    Tous les incidents qui répondent aux critères de sélection dans votre Microsoft Azure locataire et qui sont disponibles via l’API Microsoft Azure Sentinel sont initialement ingérés dans votre ServiceNow AI Platform instance.

    Procédure

    1. Accédez à la Tous > Intégration de Microsoft Azure Sentinel > Profil d'incident Azure Sentinel.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 1. Microsoft Azure Sentinel - Formulaire Configuration de l’ingestion d’incident
      Champ Description
      Nom

      Nom du profil.

      Ce nom vous permet d’identifier le type de profil et constitue également le nom par défaut de la balise de sécurité associée à ce profil.
      Actif

      Indique que le profil est actif.

      Lorsque le profil est actif, cela implique que l’interroge ServiceNow AI Platform activement les incidents Azure Sentinel et que les incidents de sécurité correspondants sont créés lorsque SIR les conditions de filtrage sont vérifiées.
      Source Microsoft Azure locataire que vous avez configuré pour ingérer des incidents. Si vous avez configuré plusieurs locataires, sélectionnez le locataire approprié pour les types d’incidents que vous prévoyez d’ingérer pour le profil.
      Ordre

      Priorité du flux. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux avec le numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.

      La valeur par défaut est 100.
      Description Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.
    4. Pour passer à la section Mappage, cliquez sur Continuer.

    Que faire ensuite

    Mappez les champs d’incident individuels Microsoft Azure Sentinel aux champs de l’incident ServiceNow AI Platform SIR de sécurité.