Automatizar atualizações de alerta e fechamento com base no status do incidente SIR

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • A integração de ingestão de alertas API de Segurança do Microsoft Graph tem uma interface bidirecional que permite que ambos os alertas criem incidentes de segurança, bem como a capacidade de atualizar os alertas depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como SIR incidente número, grupo de atribuição, SIR URL do incidente e assim por diante. T

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:
    Os status de alerta inicial e de fechamento serão atualizados somente se esta funcionalidade for compatível com o provedor de serviços. Para obter detalhes, consulte a documentação API de Segurança do Microsoft Graph e a documentação do provedor de segurança.

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.
    2. Siga as instruções abaixo para concluir a configuração de atualização de alertas quando o incidente de segurança for criado.
      Opção ou campoDescrição
      Atualizar alertas após a criação do incidente SIR Selecione esta opção se quiser atualizar o status do alerta e adicionar comentários adicionais quando um incidente de segurança for criado a partir do alerta. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como para os alertas agregados.
      Atualização de status de alerta inicial Selecione um status de alerta inicial na lista. Este status será definido para todos os alertas quando um incidente de segurança for criado para um alerta ingerido. Isso inclui alertas que criam novos incidentes e alertas que são ingeridos e agregados a um incidente em aberto existente.
      Nota:
      Com base no status de alerta selecionado aqui, o status de alerta usado pelos provedores de segurança será atualizado correspondentemente.
      Comentários iniciais retornados para o alerta Com base na fase selecionada, os comentários padrão são exibidos. Você pode modificar o texto padrão e usar o formato ${field name}$ para adicionar ou modificar quaisquer campos disponíveis no formulário de incidente de segurança.
      Fechar alertas após o fechamento do incidente de SIR Selecione esta opção se quiser usar a opção de fechamento de alerta automatizado. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como para os alertas agregados. O status do alerta será atualizado no provedor de segurança com os comentários de status e fechamento após o SIR incidente ser fechado no Now Platform.
      Atualização de status de alerta de fechamento Selecione um status de alerta na lista. Selecione o valor de status a ser definido para todos os alertas quando um incidente de segurança for encerrado para um alerta ingerido.
      Comentários de fechamento retornados para o alerta Os comentários de fechamento padrão são exibidos aqui. Você pode editar o texto padrão e usar o formato ${field name}$ para adicionar ou modificar quaisquer campos disponíveis no formulário de incidente de segurança.
    3. Clique em Concluir para concluir a configuração e mover o perfil para o estado Aguardando.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair alertas do locatário Microsoft Azure com base em sua programação. Um máximo de 1.000 incidentes de segurança podem ser criados em um período de 24 horas.