SIR インシデント状況によるインシデントの更新とクローズの自動化
SIR インシデント状況によって、インシデントの更新とクローズを自動化します。Microsoft Azure Sentinel 統合には、両方のインシデントがセキュリティインシデントを作成し、セキュリティインシデントが作成またはクローズされた後にインシデントを更新できるようにする、双方向のインターフェイスがあります。
始める前に
Microsoft は、Azure portal での Azure Sentinel エクスペリエンスの廃止を 2026 年 3 月から 2027 年 3 月に延長しました。
現在、セキュリティインシデントレスポンス (SIR) との Azure Sentinel 統合を使用している場合は、できるだけ早く新しい Defender ポータル統合に移行することを強くお勧めします。Defender 統合には、既存の Sentinel プロファイルを Defender プロファイルに自動的に変換する組み込みの移行ユーティリティが含まれており、移行後に Sentinel を介して作成されたインシデントの継続性を確保します。詳細については、「 Microsoft Sentinel から Defender への移行ガイド」を参照してください。
必要なロール:sn_si.ingestion_profile_admin
手順
-
フォームで、詳細を入力します。
手順に従って、SIR でセキュリティインシデントを作成またはクローズしたときにインシデントを更新するための構成を完了します。
表 : 1. [インシデントの更新の自動化] フォーム カテゴリ フィールド 説明 インシデントの作成の最新情報 SIR インシデントの作成時に Azure Sentinel インシデント状況を更新 自動インシデント更新機能を使用できるようにするオプション。Microsoft Azure Sentinel インシデント状況は、SIR インシデントが ServiceNow AI Platform に作成された後にコメントとともに Microsoft Azure インシデントで更新されます。 最初のインシデントのステータスの更新 Microsoft Azure Sentinel 環境で更新される最初のインシデント状況。ステータスとして [新規] または [アクティブ] を選択できます。 最初のコメントがインシデントに投稿されました Microsoft Azure Sentinel 環境でインシデントに投稿される最初のコメント。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストを編集することができます。
インシデントのクローズの更新 SIR インシデントのクローズ時に Azure Sentinel インシデントをクローズ インシデント状況の自動更新機能を使用できるようにするオプション。Microsoft Azure Sentinel インシデントは、SIR インシデントが ServiceNow AI Platform でクローズされた後に指定されたコメントとともに Microsoft Azure インシデントでクローズされます。 クローズインシデントのステータスの更新 SIR でインシデントがクローズされると、Microsoft Azure Sentinel インシデントでステータスが更新されます。 クローズコメントがインシデントに投稿されました SIR でインシデントがクローズされたときに、Microsoft Azure Sentinel インシデントでインシデントに投稿されるコメント。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストを編集することができます。
インシデント分類とクローズ理由 Microsoft Azure Sentinel 環境でインシデントをクローズするために使用される、インシデントの分類方法とクローズ理由。 Microsoft Azure Sentinel 環境でインシデントをクローズするには、方法として [デフォルトのインシデント分類とクローズ理由] を選択します。この方法を選択する場合は、[デフォルトのインシデント分類とクローズ理由] を定義する必要があります。SIR でインシデントをクローズすると、指定された [デフォルトのインシデント分類とクローズ理由] で Azure Sentinel のインシデント状況もクローズされます。
インシデントをクローズし、分類理由を SIR クローズコードにマッピングするには、方法として [インシデントの分類とクローズ理由:SIR クローズコードマッピング] を選択します。複数の SIR クローズコードを単一の分類理由にマップできます。クローズコードを使用して SIR でインシデントをクローズすると、マッピングされたインシデント分類とクローズ理由で Azure Sentinel のインシデント状況もクローズされます。
分類理由と SIR クローズコードがマッピングされていない場合、または一致が見つからない場合、Microsoft Azure Sentinel 環境で「未定」というデフォルトの分類理由を使用してインシデントがクローズされます。
Azure Sentinel インシデントコメントと SIR 作業メモの同期 Azure Sentinel インシデントコメントで SIR 作業メモを更新 SIR 作業メモの Microsoft Azure Sentinel コメントを更新するために選択できるオプション。SIR 作業メモのコメントは、「Comment from Sentinel」というプリフィックス付きで表示されます。コメントには、Sentinel ID、アナリストの詳細、およびタイムスタンプも含まれています。 SIR 作業メモで Azure Sentinel インシデントコメントを更新 Microsoft Azure Sentinel インシデントコメントの SIR 作業メモを更新するために選択できるオプション。Microsoft Azure Sentinel のコメントは、「Comment from ServiceNow」というプリフィックス付きで表示されます。 次の例は、インシデントの更新を自動化するために使用できる構成オプションを示しています。