Automatisieren Sie die Aktualisierungen und Abschlüsse von Incidents anhand des Incident-Status SIR .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Automatisieren Sie die Aktualisierungen und Abschlüsse von Incidents anhand des Incident-Status SIR. Die Microsoft Azure Sentinel -Integration verfügt über eine bidirektionale Schnittstelle, die es beiden Incidents ermöglicht, Security Incidents zu erstellen und die Incidents zu aktualisieren, nachdem der Security Incident erstellt oder geschlossen wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Füllen Sie die Details im Formular aus.
      Befolgen Sie die Anweisungen, um die Konfiguration für die Aktualisierung von Incidents abzuschließen, wenn Sie einen Security Incident in SIRerstellen oder schließen.
      Tabelle : 1. Formular „Automatisieren von Incident-Aktualisierungen“.
      Kategorie Feld Beschreibung
      Aktualisierungen der Incident-Erstellung Aktualisiert den Status von Azure Sentinel-Incidents bei SIR-Incident-Erstellung Option, mit der Sie die automatisierte Funktion zur Aktualisierung von Incidents verwenden können. Der Incident-Status Microsoft Azure Sentinel wird in Microsoft Azure Incident mit den Kommentaren aktualisiert, nachdem der Incident SIR in Now Platformerstellt wurde.
      Anfangsstatusaktualisierung für Incident Anfänglicher Incident-Status, der in der Umgebung Microsoft Azure Sentinel aktualisiert wird. Sie können Neu oder Aktiv als Status auswählen.
      Anfangskommentare, die an den Incident zurückgesendet werden Anfangskommentare, die zum Incident in der Umgebung Microsoft Azure Sentinel veröffentlicht werden.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{field name}$ für ein beliebiges Feld im Incident-Formular SIR hinzufügen oder ändern.
      Updates zum Incident-Abschluss Schließen von Azure Sentinel-Incidents nach SIR-Incident-Abschluss Option, mit der Sie die automatisierte Funktion zur Aktualisierung des Incident-Status verwenden können. Microsoft Azure Sentinel Incidents werden im Incident Microsoft Azure mit den Kommentaren geschlossen, nachdem der Incident SIR im Incident Now Platform] geschlossen wurde.
      Statusaktualisierung für Abschluss-Incident Statusaktualisierung im Incident Microsoft Azure Sentinel, wenn der Incident in SIRgeschlossen wird.
      Abschlusskommentare werden an den Incident zurückgesendet Kommentare, die an den Incident im Incident Microsoft Azure Sentinel gesendet werden, wenn der Incident in SIRgeschlossen wird.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{field name}$ für ein beliebiges Feld im Incident-Formular SIR hinzufügen oder ändern.
      Incident-Klassifizierung und Abschlussgrund Methode für die Incident-Klassifizierung und den Abschlussgrund, die zum Schließen des Incident in der Microsoft Azure Sentinel -Umgebung verwendet wird.

      Wählen Sie die Methode Standardmäßige Incident-Klassifizierung und Abschlussgrund aus, um den Incident in der Umgebung Microsoft Azure Sentinel zu schließen. Wenn Sie diese Methode auswählen, müssen Sie die standardmäßige Incident-Klassifizierung und den Abschlussgrunddefinieren. Wenn Sie einen Incident in SIR schließen, wird der Incident-Status in Azure Sentinel ebenfalls mit der angegebenen Standard-Incident-Klassifizierung und dem angegebenen Abschlussgrundgeschlossen.

      Wählen Sie die Zuordnungsmethode Incident-Klassifizierung und Abschlussgrund – SIR-Abschlusscode, um die Incidents zu schließen und die Klassifizierungsgründe den Abschlusscodes SIR zuzuordnen. Sie können mehrere SIR Abschlusscodes einem einzelnen Klassifizierungsgrund zuordnen. Nachdem Sie einen Incident in SIR mit dem Abschlusscode geschlossen haben, wird der Incident-Status in Azure Sentinel ebenfalls mit der zugeordneten Incident-Klassifizierung und dem Abschlussgrund geschlossen.

      Wenn der Klassifizierungsgrund und die Abschlusscodes SIR nicht zugeordnet sind oder keine Übereinstimmung gefunden wird, wird der Incident mit dem Standardklassifizierungsgrund „Nicht bestimmt“ in der Umgebung Microsoft Azure Sentinel geschlossen.
      Synchronisierung von Azure Sentinel-Incident-Kommentaren und SIR-Arbeitsnotizen SIR-Arbeitsnotizen mit Azure Sentinel-Incident-Kommentaren aktualisieren Option, die Sie auswählen können, um Ihre Microsoft Azure Sentinel -Kommentare in den SIR -Arbeitsnotizen zu aktualisieren. Der Kommentar in den Arbeitsnotizen SIR wird mit dem Präfix Comment from Sentinelangezeigt. Der Kommentar enthält auch die Sentinel-ID, Analystendetails und den Zeitstempel.
      Azure Sentinel-Incident-Kommentare mit SIR-Arbeitsnotizen aktualisieren Option, die Sie auswählen können, um Ihre SIR Arbeitsnotizen in den Microsoft Azure Sentinel Incident-Kommentaren zu aktualisieren. Der Kommentar in Microsoft Azure Sentinel wird mit dem Präfix Comment from ServiceNowangezeigt.

      Das folgende Beispiel zeigt die Konfigurationsoptionen, die für die Automatisierung von Incident-Updates verfügbar sind.

      Optionen für die Automatisierung von Incidents.
    2. Klicken Sie auf Fertigstellen.

    Nächste Maßnahme

    Das Profil wird in den Status „Warten“ verschoben. Wenn die Bestätigungsmeldung anzeigt, dass das Setup und die Konfiguration abgeschlossen sind, können Sie das Profil aktivieren.