Passer en revue les paramètres d’intégration Microsoft Azure Sentinel
Examinez les paramètres d’intégration Microsoft Azure Sentinel afin de pouvoir modifier les propriétés système en fonction de votre environnement.
Avant de commencer
Rôle requis : sn_si.ingestion_profile_admin
Procédure
- Accédez à la Tous > Intégration de Microsoft Azure Sentinel > Paramètres de l'intégration d'Azure Sentinel.
-
Modifiez les paramètres suivants selon vos besoins.
Tableau 1. Microsoft Azure Sentinel Paramètres d’intégration Nom de la propriété Description Appliquer une limite au nombre de jours pour lesquels des données d’échantillon peuvent être extraites. sn_sec_sentinel.max_nombre_de_jours_pour_données_de_l’échantillon
Nombre maximal de jours pendant lesquels vous pouvez extraire des exemples de données de l’environnement Microsoft Azure Sentinel . Type : nombre entier
Valeur par défaut : 7
Recevez des mises à jour relatives aux nouvelles alertes liées à SIR. sn_sec_sentinel.incident_updates
Activez l'option pour recevoir les mises à jour des incidents.
Type : booléen
Valeur par défaut : trueLe caractère du délimiteur pour diviser les valeurs dans Microsoft Azure Sentinel les mappages de champs. sn_sec_sentinel.delimiter
Le caractère du délimiteur pour diviser les valeurs dans Microsoft Azure Sentinel les mappages de champs. Type : chaîne
Valeur par défaut : ', ' (virgule avec espace)
Appliquer une limite au nombre d’échantillons d’incidents pouvant être extraits. sn_sec_sentinel.max_num_of_sample_incident_per_call
Nombre maximal d’échantillons d’incidents que vous extrayez de l’environnement pour l’ingestion Microsoft Azure Sentinel .
Type : nombre entierValeur par défaut : 5
Valeur maximale de l’échantillon : 20
Appliquez une limite au nombre d’incidents sentinel qui peuvent être regroupés en un seul incident. sn_sec_sentinel.max_agrégations_per_si
Limite d’agrégation d’incidents pour un incident de sécurité. Par exemple, s’il y a 102 incidents, les 100 premiers sont regroupés en incident_1 de sécurité et les 2 autres en incident_2 de sécurité.
Type : nombre entierValeur par défaut : 100
Appliquer une limite au nombre d’incidents de sécurité qui peuvent être créés dans une période de 24 heures. sn_sec_sentinel.max_si_per_day
Nombre maximal d’incidents de sécurité pouvant être créés dans un délai de 24 heures dans le ServiceNow AI Platform.
Type : nombre entierValeur par défaut : 1 000
Limite maximale de pagination pour l’extraction des données d’incident dans un appel REST. sn_sec_sentinel.max_taille_page_
Limite de pagination pour l’extraction des données d’incident dans un appel REST à partir de l’environnement Microsoft Azure Sentinel .
Type : nombre entierValeur par défaut : 100
Valeur de version de l’API pour les incidents. sn_sec_sentinel.sentinel_security_incident_api_version
Version de l’API Microsoft pour la récupération des incidents Sentinel. Valeur par défaut : 01/10/2021
Valeur de version de l’API pour les alertes. sn_sec_sentinel.sentinel_security_alert_api_version
Version de l’API Microsoft pour la récupération des alertes Sentinel. Valeur par défaut : 01/10/2021
Valeur de version de l’API pour les entités. sn_sec_sentinel.sentinel_security_entities_api_version
Version de l’API Microsoft pour la récupération des entités Sentinel. Valeur par défaut : 01/10/2021
sn_sec_sentinel.logging.verbosité
Niveau de verbosité du journal de l’application, c’est-à-dire le nom du type d’information. Vous pouvez également mettre à jour la valeur dans les options suivantes : - erreur
- avertir
- info
- debug
Valeur par défaut : info.
-
Cliquez sur Enregistrer.
Vos paramètres d’intégration modifiés sont appliqués dans l’intervalle d’interrogation suivant, tel que défini dans le profil.