Planen Sie Microsoft Azure Sentinel Incident-Abruf

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Legen Sie einen Zeitplan fest, um die Incident-Daten abzurufen und zu erfassen Microsoft Azure Sentinel Incidents, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie in der Zukunft abfragen möchten Microsoft Azure Sentinel Incidents, die der Incident-Profilkonfiguration entsprechen.

    Um die automatisierte Incident-Erfassung zu aktivieren, müssen Sie die Planung und den Incident-Abruf konfigurieren, bevor Sie das Profil aktivieren. Aktivieren Sie , um ein bestimmtes Datum und eine bestimmte Uhrzeit für die anfängliche Erfassung zu definieren Legen Sie die Incident-Erfassungszeit fest . Die nachfolgende Erfassung basiert auf dem Abfrageintervall-Zeitraum.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die verschiedenen Abfrageintervalle können sich auf die Leistung von auswirken Microsoft Azure Sentinel Incident-Integration. Planen Sie bei der Planung, dass die Systemlast gegen die Dringlichkeit eines Incident ausgeglichen wird. Für alle Profile ist ein einminütiger Standardwert festgelegt. Sie können diese Einstellung basierend auf der Dringlichkeit des Incident und der erwarteten Belastung Ihres Systems ändern.

    Alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, werden ausgeführt und dann an die zugehörigen Listen mit Azure Sentinel-Warnungen angehängt, und Arbeitsnotizen werden ebenfalls veröffentlicht.

    Prozedur

    1. Füllen Sie die Felder im Planungsformular aus.

      Konfigurieren Sie den Zeitplan, um zu definieren, wie und wann Sie Incidents aus abrufen Microsoft Azure Mandant.

      Tabelle : 1. Zeitplanungsformular
      Feld Beschreibung
      Fortlaufende Incident-Erfassung Laufende Incident-Erfassung, die der ServiceNow AI Platform Instanz ruft aus ab Microsoft Azure Mandant für neue Incidents. Security Incidents werden erstellt, wenn ausgelöste Incidents gefunden werden und die Filterkriterien für die Incident-Generierung erfüllt sind.
      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Incident-Erfassungszeit festlegen Incident-Erfassung, die auf dem konfigurierten Datum und der konfigurierten Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die anfängliche Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Abfrageintervall-Zeitraum.
      Eingabe Incident-Erfassungszeit

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.
      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um den einmaligen Abruf historischer Azure Sentinel-Incidents zu ermöglichen und dann den Abgleich der Daten durchzuführen. Wenn Sie diesen Checkkox auswählen, ruft die Anwendung alle offenen und geschlossenen Azure Sentinel-Incidents für den Zeitraum von ungefähr 6 Monaten ab.

      Bei der Verarbeitung der Daten werden sowohl laufende Incidents als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Incidents hat Vorrang vor dem historischen Abruf, und andernfalls kann der historische Abruf einige Zeit in Anspruch nehmen, je nachdem, wie lange Sie die Incidents erfassen.

      Hinweis:
      Die abgerufenen historischen Azure Sentinel-Incidents werden Deduplizierungsprüfungen unterzogen, um Duplikate in der Anwendung „Security Incident Response“ zu verhindern.
      Seit Datum Das Datum, seit dem die historischen Incidents aus Azure Sentinel erfasst werden.
      Hinweis:
      Die Incident-Daten werden ungefähr aus den letzten 6 Monaten abgerufen.

      Auf der Planungsseite können Sie definieren, wie und wann Incidents aus abgerufen werden Microsoft Azure Mandant.

    2. Um zur Seite „zusätzliche Optionen“ zu navigieren, klicken Sie auf Fahren Sie Fort .