인시던트 상태별로 SIR 인시던트 업데이트 및 종결 자동화
인시던트 상태에 따라 인시던트 업데이트 및 종결을 SIR 자동화합니다. 통합에는 Microsoft Azure Sentinel 양방향 인터페이스가 있어 두 인시던트 모두 보안 인시던트를 생성하고 보안 인시던트가 생성 또는 종결된 후 인시던트를 업데이트할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
-
양식에 상세 정보를 입력합니다.
지침에 따라 에서 보안 인시던트를 SIR생성하거나 종결할 때 인시던트를 업데이트하기 위한 구성을 완료합니다.
표 1. 인시던트 업데이트 자동화 양식 범주 필드 설명 인시던트 작성 업데이트 SIR 인시던트 작성 시 Azure Sentinel 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 에서 인시던트가 생성된 Now Platform후 인시던트에서 Microsoft Azure 인시던트 상태가 주석과 SIR 함께 업데이트됩니다. 초기 인시던트 상태 업데이트 환경에서 업데이트된 Microsoft Azure Sentinel 초기 인시던트 상태입니다. 상태로 신규 또는 활성을 선택할 수 있습니다. 인시던트에 다시 게시된 초기 설명 환경에서 인시던트에 게시되는 초기 코멘트입니다 Microsoft Azure Sentinel . 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
인시던트 종결 업데이트 SIR 인시던트 종결 시 Azure Sentinel 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 인시던트는 인시던트에서 Microsoft Azure 종결되며 인시던트가 종결된 후 SIR 제공된 코멘트는 Now Platform. 종결 인시던트 상태 업데이트 에서 SIR인시던트가 종결될 때 인시던트의 상태 업데이트 Microsoft Azure Sentinel 입니다. 종결 처리 설명 인시던트에 다시 게시됨 에서 인시던트가 종결SIR될 때 인시던트의 인시던 Microsoft Azure Sentinel 트에 게시되는 설명입니다. 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
인시던트 분류 및 종결 사유 환경에서 인시던트를 Microsoft Azure Sentinel 종결하는 데 사용되는 인시던트 분류 및 종결 이유에 대한 방법입니다. 환경에서 인시던트를 Microsoft Azure Sentinel 종결하려면 기본 인시던트 분류 및 종결 이유 방법을 선택합니다. 이 방법을 선택하는 경우 기본 인시던트 분류 및 종결 이유를 정의해야 합니다. SIR에서 인시던트를 종결하면 Azure Sentinel의 인시던트 상태도 지정된 기본 인시던트 분류 및 종결 사유로 종결됩니다.
인시던트 분류 및 종결 사유-SIR 종결 코드 매핑 방법을 선택하여 인시던트를 종결하고 분류 이유를 종결 코드로 SIR 매핑합니다. 여러 SIR 종결 코드를 단일 분류 이유에 매핑할 수 있습니다. 종결 코드를 사용하여 인시던트를 SIR 종결하면 Azure Sentinel의 인시던트 상태도 매핑된 인시던트 분류 및 종결 사유로 종결됩니다.
분류 이유와 SIR 종결 코드가 매핑되지 않았거나 일치하는 항목을 찾을 수 없으면 환경에서 기본 분류 이유를 '미확인 Microsoft Azure Sentinel '으로 사용하여 인시던트가 종결됩니다.
Azure Sentinel 인시던트 설명 및 SIR 작업 메모 동기화 Azure Sentinel 인시던트 설명으로 SIR 작업 메모 업데이트 작업 메모의 주석을 업데이트 Microsoft Azure Sentinel 하기 위해 선택할 수 있는 옵션입니다 SIR . 작업 메모의 SIR 코멘트는 프리픽스 Comment from Sentinel과 함께 표시됩니다. 코멘트에는 Sentinel ID, 분석가 상세 정보 및 타임 스탬프도 포함되어 있습니다. SIR 작업 메모로 Azure Sentinel 인시던트 설명 업데이트 인시던트 설명에서 작업 메모를 업데이트하기 SIR 위해 선택할 수 있는 옵션입니다 Microsoft Azure Sentinel . ServiceNow의 코멘트라는 프리픽스와 함께 코멘트가 Microsoft Azure Sentinel 나타납니다. 다음 예는 인시던트 업데이트를 자동화하는 데 사용할 수 있는 구성 옵션을 보여줍니다.