インシデントの更新とクローズの自動化
インシデントのステータスに基づいて、インシデントの更新とクローズを自動化します。Cortex XSIAM 統合により、インシデントでセキュリティインシデントを作成し、作成またはクローズ後にインシデントを更新することもできます。
始める前に
必要なロール:sn_si.admin、sn_si.ingestion_profile_admin
手順
-
フォームのフィールドに入力します。
表 : 1. [インシデントの更新の自動化] フォーム カテゴリ フィールド 説明 セキュリティインシデント作成の最新情報 SIR インシデントの作成時にインシデントステータスを更新 自動インシデント更新機能を使用するオプション。Cortex XSIAM インシデントステータスは、 SIR インシデントが ServiceNow AI Platformで作成された後にコメントで更新されます。 最初のインシデントのステータスの更新 Cortex XSIAM 環境で更新される最初のインシデントステータス (新規または処理中)。 最初のコメントがインシデントに返信されました Cortex XSIAM 環境でインシデントに投稿される最初のコメント。 セキュリティインシデントのクローズの最新情報 SIR インシデントのクローズ時に XSIAM インシデントをクローズする インシデント状況の自動更新機能を使用するオプション。インシデントは、 SIR インシデントが ServiceNow AI Platformでクローズされた後に指定されたコメントを使用して XSIAM でクローズされます。 クローズインシデントのステータスの更新 セキュリティインシデントが SIR でクローズされたときの Cortex XSIAM インシデントのステータス更新。 クローズコメントが XSIAM に投稿されました セキュリティインシデントが SIR でクローズされたときに、Cortex XSIAM インシデントのインシデントに投稿されたコメント。 優先度マッピング 優先度を更新 ServiceNow インシデントの優先度を XSIAM インシデントの重大度に同期するオプション。 有効にすると、ServiceNow でインシデントの優先度を変更すると、マッピング構成に基づいて対応する XSIAM インシデントの重大度が更新されます。
たとえば、ServiceNow 優先度「1 - 重大」は、XSIAM 重大度「重大」にマップされます。
クローズしたインシデントをプル クローズしたインシデントをプル 進行中の取り込みおよび 1 回限りの取得中にクローズ済みインシデントをフェッチするオプション。クローズ済み SIR インシデントは、XSIAM からの新しいデータで更新されません。 作業メモを XSIAM に同期 SIR 作業メモを XSIAM に同期 セキュリティインシデントの作業メモを XSIAM インシデントコメントに同期するオプション。 ServiceNow® のセキュリティインシデントに追加された作業メモは、対応する XSIAM インシデントにコメントとして表示されます。