Créer un profil pour l’intégration de l’ingestion d’alertes d’API Microsoft Graph Security
En tant qu’utilisateur disposant du rôle sn_si.admin, vous créez un profil d’alerte dans votre ServiceNow AI Platform instance et déterminez quelles alertes génèrent des incidents de sécurité. Avant que des incidents de sécurité ne soient créés à partir d’alertes ingérées, les valeurs de champ des alertes sont affichées sur une mise en page d’un ServiceNow AI Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera affiché.
Avant de commencer
Rôle requis : sn_si.admin
Pourquoi et quand exécuter cette tâche
L’intégration vous permet d’ingérer différents types d’alertes, telles que des tentatives d’accès non autorisé et des logiciels malveillants, par exemple. Ces alertes sont ingérées en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance. Toutes les alertes sont initialement ingérées pour un type d’alerte configuré dans un profil. Les alertes ingérées peuvent ensuite être filtrées davantage pour spécifier quelles alertes créent des incidents de sécurité.
Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les alertes identifiées comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir des alertes ingérées, les valeurs de champ individuelles des alertes filtrées sont mappées aux champs correspondants sur une mise en page d’incident de sécurité pour un aperçu. Toutes les alertes qui répondent aux critères de sélection dans votre Microsoft Azure locataire et qui sont disponibles au cours de la API de sécurité Microsoft Graph sont initialement ingérées dans votre ServiceNow AI Platform instance.