Microsoft Graph Security API 統合のスケジュール定義

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：4分

必要に応じて、アラート取得のデフォルトの設定を確認したり、スケジュールを変更したりすることができます。このステップでは、日付範囲に基づいてアラートの取得をフィルタリングできます。

始める前に

必要なロール：sn_si.admin

このタスクについて

また、アラートプロファイル構成に一致する将来のアラートをポーリングする頻度も選択します。自動アラート取り込みプロファイルの場合は、プロファイルをアクティブ化する前に、スケジュールとアラートの取得を確認して変更します。このステップは、スケジュール設定済みアラートプロファイルに必要です。

sn_si.admin ロールを持つユーザーは、これらのポーリング間隔をプロファイルごとに設定します。Microsoft Graph Security API アラートの取り込み統合のパフォーマンスは、ポーリング間隔が異なると影響を受けます。スケジュールするときは、インシデントの緊急度とシステム負荷のバランスを取るように計画してください。5 分間のデフォルト値が任意のプロファイルに設定されますが、インシデントの緊急度とシステムの予想される負荷に基づいて変更できます。

手順

進捗状況バーに [スケジュール] ページが表示されない場合は、[スケジュール] を選択します。

Microsoft Azure テナントからアラートをプルする方法とタイミングをスケジュールするものを選択します。

オプション	説明
[継続的なアラートの取り込み] を選択	デフォルト設定に基づいて、Now Platform インスタンスは Microsoft Azure テナントから新しいアラートを 5 分ごとにプルします。トリガーされたアラートが検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。アラートの取り込みとサーバーの負荷のバランスを取り、最新のデータをプルするには、5 分が推奨される設定です。ただし、この値は必要に応じて変更できます。
[継続的なアラートの取り込み] を選択初期アラートの取り込み時刻を設定	初期取り込み時刻特定の時刻に初期取り込みをスケジュールする場合は、次のステップを実行します。 [継続的なアラートの取り込み] フィールドと [初期アラートの取り込み時刻を設定] フィールドを選択します。 [入力初期アラートの取り込み時刻] フィールドに時刻を指定します。ここで指定した時刻に最初の取り込みが行われます。後続の取り込みは、[ポーリングインクリメント (分)] フィールドで定義されたスケジュールに基づきます。スケジュールの例として、現地時間の午前 4 時に 1 日 1 回実行される日次アラートジョブがある場合、Now Platform インスタンスで対応するアラートプロファイルを現地時間午前 4 時 5 分に実行するように設定して、アラートをすぐにキャプチャし、セキュリティインシデントを作成できます。 [初期アラートの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、初期アラートの取り込みから 24 時間後に次のアラートの取り込みをスケジュールします。初期アラートの取り込み時刻と次のアラートの取り込み時刻の両方がフィールドに表示されます。この例の設定を構成するには、次のステップを実行します。 [継続的なアラートの取り込み] オプションを選択します。 [ポーリングインクリメント (分)] フィールドに「1440 (24 時間)」と入力します。 [初期アラートの取り込み時刻を設定] オプションをオンにして [初期アラートの取り込み時刻] と [次のアラートの取り込み時刻 (推定)] フィールドの編集を有効にします。 [初期アラートの取り込み時刻] フィールドに「04 05 00」と入力します。[次のアラートの取り込み時刻 (推定)] フィールドに、次のアラートの取り込み時刻が表示されます。
[1 回限りの取得] フィールドを選択	1 回限りの取得 1 回限りのプルで履歴アラートを取り込む場合は、この設定を使用します。この設定を構成すると、日付範囲に基づく履歴イベントからアラートを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までのアラートが取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、大量の履歴アラートを取得することを意図したものではなく、プロファイルをアクティブ化する時にアクティブに作業されている最小限の実行中のアラートを取得します。アラートがプルされた後、この設定では、現在の日付以降、このプロファイルのアラートはさらに取得されません。この設定により、入力した範囲で検出されたすべてのアラートがセキュリティインシデントに入力されます。

オプション

説明

[継続的なアラートの取り込み] を選択

デフォルト設定に基づいて、Now Platform インスタンスは Microsoft Azure テナントから新しいアラートを 5 分ごとにプルします。トリガーされたアラートが検出され、インシデント生成のフィルター条件が一致すると、セキュリティインシデントが作成されます。アラートの取り込みとサーバーの負荷のバランスを取り、最新のデータをプルするには、5 分が推奨される設定です。ただし、この値は必要に応じて変更できます。

[継続的なアラートの取り込み] を選択
初期アラートの取り込み時刻を設定

初期取り込み時刻

特定の時刻に初期取り込みをスケジュールする場合は、次のステップを実行します。

[継続的なアラートの取り込み] フィールドと [初期アラートの取り込み時刻を設定] フィールドを選択します。
[入力初期アラートの取り込み時刻] フィールドに時刻を指定します。

ここで指定した時刻に最初の取り込みが行われます。後続の取り込みは、[ポーリングインクリメント (分)] フィールドで定義されたスケジュールに基づきます。

スケジュールの例として、現地時間の午前 4 時に 1 日 1 回実行される日次アラートジョブがある場合、Now Platform インスタンスで対応するアラートプロファイルを現地時間午前 4 時 5 分に実行するように設定して、アラートをすぐにキャプチャし、セキュリティインシデントを作成できます。

[初期アラートの取り込み] フィールドに「04 05 00」と入力します。[インクリメント (分)] フィールドに「1440 (24 時間)」と入力して、初期アラートの取り込みから 24 時間後に次のアラートの取り込みをスケジュールします。初期アラートの取り込み時刻と次のアラートの取り込み時刻の両方がフィールドに表示されます。

この例の設定を構成するには、次のステップを実行します。

[継続的なアラートの取り込み] オプションを選択します。
[ポーリングインクリメント (分)] フィールドに「1440 (24 時間)」と入力します。
[初期アラートの取り込み時刻を設定] オプションをオンにして [初期アラートの取り込み時刻] と [次のアラートの取り込み時刻 (推定)] フィールドの編集を有効にします。
[初期アラートの取り込み時刻] フィールドに「04 05 00」と入力します。[次のアラートの取り込み時刻 (推定)] フィールドに、次のアラートの取り込み時刻が表示されます。

[1 回限りの取得] フィールドを選択

1 回限りの取得

1 回限りのプルで履歴アラートを取り込む場合は、この設定を使用します。

この設定を構成すると、日付範囲に基づく履歴イベントからアラートを取得するためにプロファイルが 1 回使用されます。[開始日] フィールドの右側にあるカレンダーアイコンをクリックします。表示されるカレンダーで、アラートのプルを開始する日付を選択します。[開始日] の値から、現在の日付までのアラートが取得されます。現在の日付から 7 日間さかのぼって注目イベントを取得できることに注意してください。この機能は、大量の履歴アラートを取得することを意図したものではなく、プロファイルをアクティブ化する時にアクティブに作業されている最小限の実行中のアラートを取得します。

アラートがプルされた後、この設定では、現在の日付以降、このプロファイルのアラートはさらに取得されません。この設定により、入力した範囲で検出されたすべてのアラートがセキュリティインシデントに入力されます。

[続行] をクリックして、[他のオプション] ページに移動します。