Programe o. Microsoft Azure Sentinelrecuperação de incidente

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados do incidente e ingerir o. Microsoft Azure Sentinelincidentes que correspondem aos critérios no perfil.

    Antes de Iniciar

    Função necessária: sn_sni.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar a frequência com que deseja pesquisar para o futuro Microsoft Azure Sentinelincidentes que correspondem à configuração do perfil do incidente.

    Para habilitar a ingestão automatizada de incidentes, você deve configurar a programação e a recuperação de incidentes antes de ativar o perfil. Para definir uma data e hora específicas para a ingestão inicial, habilite defina o tempo de ingestão do incidente . A ingestão subsequente é baseada no período de intervalo de pesquisa.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho do Microsoft Azure Sentinelintegração de incidentes. Ao agendar, planeje equilibrar a carga do sistema em relação à urgência de um incidente. Um valor padrão de um minuto é definido para todos os perfis. Você pode modificar essa configuração com base na urgência do incidente e na carga prevista em seu sistema.

    Qualquer alerta que seja adicionado ao incidente em um intervalo de pesquisa específico, haverá um processo executado e anexado às listas relacionadas de alertas do Azure Sentinel, e a anotação de trabalho também será publicada.

    Procedimento

    1. No formulário de agendamento, preencha os campos.

      Configure a programação para definir como e quando você extrai incidentes do Microsoft Azurelocatário.

      Tabela 1. Formulário de programação
      Campo Descrição
      Ingestão de incidentes em andamento Ingestão de incidente em andamento que o. Now Platforma instância extrai do Microsoft Azurelocatário para novos incidentes. Os incidentes de segurança serão criados se incidentes acionados forem encontrados e os critérios de filtragem de geração de incidentes corresponderem.
      Incrementos de pesquisa (minutos) Frequência de pesquisa definida em minutos.
      Definir tempo de ingestão do incidente Ingestão de incidente baseada na data e hora configuradas.

      Você pode usar esta opção para definir uma data e hora específicas para a ingestão inicial. As ingestões subsequentes são baseadas no período de intervalo de pesquisa.
      Tempo de adição do incidente de entrada

      Data e hora que você especifica para a ingestão do incidente.
      Recuperação Única Marque esta caixa de seleção para permitir a recuperação única de incidentes históricos do Azure Sentinel e, em seguida, faça a reconciliação dos dados. Ao selecionar este checkox, a aplicação extrairá todos os incidentes do Azure Sentinel abertos e encerrados para o período de até aproximadamente 6 meses.

      Ao processar os dados, os incidentes em andamento e os dados históricos são extraídos, mas o processamento dos incidentes em andamento tem precedência sobre a extração histórica e, caso contrário, a extração histórica pode levar algum tempo com base na duração e no número de incidentes que você está ingerindo.

      Nota:
      Os incidentes do Azure Sentinel históricos recuperados passam por verificações de desduplicação para evitar duplicatas na aplicação Resposta a incidentes de segurança.
      Desde a data A data desde que os incidentes históricos são ingeridos do Azure Sentinel.
      Nota:
      Os dados do incidente são extraídos aproximadamente dos últimos 6 meses.

      A página de programação permite definir como e quando os incidentes são extraídos do Microsoft Azurelocatário.

    2. Para navegar até a página Opções adicionais, clique em Continuar .