Automatiser les mises à jour et les fermetures d’incidents en fonction de l’état de l’incident SIR

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Automatiser les mises à jour et les fermetures d’incidents en fonction de leur SIR état. L’intégration Microsoft Azure Sentinel dispose d’une interface bidirectionnelle qui permet aux deux incidents de créer des incidents de sécurité et de mettre à jour les incidents après la création ou la fermeture de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Renseignez les champs du formulaire.
      Suivez les instructions pour terminer la configuration de mise à jour des incidents lorsque vous créez ou fermez un incident de sécurité dans SIR.
      Tableau 1. Formulaire Automatisation des mises à jour d’incident
      Catégorie Champ Description
      Mises à jour de création d'incident Mettre à jour l’état des incidents Azure Sentinel à la création d’un incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée des incidents. L’état Microsoft Azure Sentinel de l’incident est mis à jour dans Microsoft Azure l’incident avec les commentaires postérieurs à la création de l’incident SIR dans le Now Platform.
      Mise à jour de l'état de l'incident initial État de l’incident initial mis à jour dans l’environnement Microsoft Azure Sentinel . Vous pouvez sélectionner Nouveau ou Actif comme état.
      Commentaires initiaux renvoyés à l'incident Commentaires initiaux qui sont publiés sur l’incident dans l’environnement Microsoft Azure Sentinel .

      Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom du champ}$ pour n’importe quel champ du formulaire d’incident SIR .
      Mises à jour de la clôture de l'incident Fermer les incidents Azure Sentinel lors de la fermeture de l’incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée du statut d’incident. Microsoft Azure Sentinel Les incidents sont fermés dans l’incident Microsoft Azure avec les commentaires donnés après la fermeture de l’incident SIR dans le Now Platform.
      Mise à jour de l'état de l'incident de fermeture Mise à jour de l’état de l’incident Microsoft Azure Sentinel lorsque celui-ci est fermé dans SIR.
      Commentaires de fermeture renvoyés à l’incident Commentaires qui sont publiés sur l’incident dans l’incident Microsoft Azure Sentinel lorsque l’incident est fermé dans SIR.

      Modifiez le texte par défaut qui s’affiche dans la section des commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom du champ}$ pour n’importe quel champ du formulaire d’incident SIR .
      Classification des incidents et motif de fermeture Méthode pour la classification des incidents et le motif de fermeture utilisée pour fermer l’incident dans l’environnement Microsoft Azure Sentinel .

      Sélectionnez la méthode par défaut de classification des incidents et de motif de fermeture pour fermer l’incident dans l’environnement Microsoft Azure Sentinel . Lorsque vous sélectionnez cette méthode, vous devez définir la classification d’incident par défaut et le motif de fermeture. Lorsque vous fermez un incident dans SIR, l’état de l’incident dans Azure Sentinel est également fermé avec la classification d’incident par défaut et le motif de fermeture spécifiés.

      Sélectionnez la méthode de mappage de code de fermeture Classification des incidents et Motif de fermeture-SIR pour fermer les incidents et mapper les motifs de classification aux SIR codes de fermeture. Vous pouvez mapper plusieurs SIR codes de fermeture à un seul motif de classification. Après avoir fermé un incident à SIR l’aide du code de fermeture, l’état de l’incident dans Azure Sentinel est également fermé avec la classification et le motif de fermeture de l’incident mappés.

      Si le motif de classification et SIR les codes de fermeture ne sont pas mappés, ou si aucune correspondance n’est trouvée, l’incident est fermé à l’aide du motif de classification par défaut « Indéterminé » dans l’environnement Microsoft Azure Sentinel .
      Synchronisation des commentaires d'incidents Azure Sentinel et des notes de travail SIR Mettre à jour les notes de travail SIR avec les commentaires sur l'incident Azure Sentinel Option que vous pouvez sélectionner pour mettre à jour vos Microsoft Azure Sentinel commentaires dans les notes de SIR travail. Le commentaire dans les SIR notes de travail apparaît avec le préfixe Commentaire de Sentinel. Le commentaire contient également l’ID Sentinel, les détails de l’analyste et l’horodatage.
      Mettre à jour les commentaires sur l'incident Azure Sentinel avec les notes de travail SIR Option que vous pouvez sélectionner pour mettre à jour vos SIR notes de travail dans les commentaires d’incident Microsoft Azure Sentinel . Le commentaire dans Microsoft Azure Sentinel apparaît avec le préfixe Commentaire de ServiceNow.

      L’exemple suivant montre les options de configuration disponibles pour automatiser les mises à jour des incidents.

      Options d’automatisation des incidents.
    2. Cliquez sur Terminer.

    Que faire ensuite

    Le profil passe à l’état En attente. Lorsque le message de confirmation indique que l’installation et la configuration sont terminées, vous pouvez activer le profil.