Automatiser les mises à jour et la fermeture des alertes en fonction de l’état de l’incident SIR

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • L’intégration API de sécurité Microsoft Graph de l’ingestion d’alerte dispose d’une interface bidirectionnelle qui permet aux alertes de créer des incidents de sécurité et de mettre à jour les alertes une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que SIR le numéro d’incident, le groupe d’affectation, SIR l’URL de l’incident, entre autres. T

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :
    Les statuts des alertes initiales et de fermeture ne sont mis à jour que si cette fonctionnalité est prise en charge par le fournisseur de service. Pour en savoir plus, consultez la documentation et celle API de sécurité Microsoft Graph du fournisseur de sécurité.

    Procédure

    1. Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de mise à jour des alertes lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les alertes lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’alerte et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’alerte. Cela peut se produire à la fois pour les alertes initiales qui créent l’incident de sécurité et pour les alertes agrégées.
      Mise à jour de l’état de l’alerte initiale Sélectionnez un état d’alerte initial dans la liste. Cet état sera défini pour toutes les alertes lors de la création d’un incident de sécurité pour une alerte ingérée. Cela inclut les alertes qui créent de nouveaux incidents et les alertes qui sont ingérées et agrégées à un incident ouvert existant.
      Remarque :
      En fonction de l’état de l’alerte sélectionné ici, l’état de l’alerte utilisé par les fournisseurs de sécurité sera mis à jour en conséquence.
      Commentaires initiaux envoyés à l’alerte En fonction de l’étape que vous avez sélectionnée, des commentaires par défaut s’affichent. Vous pouvez modifier le texte par défaut et utiliser le format ${field name}$ pour ajouter ou modifier les champs disponibles dans le formulaire d’incident de sécurité.
      Fermer les alertes lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatique des alertes. Cela peut se produire à la fois pour les alertes initiales qui créent l’incident de sécurité et pour les alertes agrégées. L’état de l’alerte est mis à jour dans le fournisseur de sécurité avec les commentaires d’état et de fermeture après SIR la fermeture de l’incident dans le Now Platform.
      Mise à jour de l’état de l’alerte de fermeture Sélectionnez un état d’alerte dans la liste. Sélectionnez la valeur d’état à définir pour toutes les alertes lorsqu’un incident de sécurité est fermé pour une alerte ingérée.
      Commentaires de fermeture renvoyés à l’alerte Les commentaires de fermeture par défaut sont affichés ici. Vous pouvez modifier le texte par défaut et utiliser le format ${field name}$ pour ajouter ou modifier des champs disponibles dans le formulaire d’incident de sécurité.
    3. Cliquez sur Terminer pour terminer la configuration et déplacer le profil vers l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des alertes du Microsoft Azure locataire en fonction de votre planification. Un maximum de 1 000 incidents de sécurité peut être créé dans un délai de 24 heures.