Die Integration der Microsoft Graph-Sicherheits-API -Warnungserfassung verfügt über eine bidirektionale Schnittstelle, die sowohl Warnungen zum Erstellen von Security Incidents ermöglicht, als auch die Möglichkeit, die Warnungen zu aktualisieren, sobald der Security Incident mit relevanten Incident-Details wie SIR Incident erstellt und/oder geschlossen wurde Nummer, Zuweisungsgruppe, SIR Incident-URL usw. Dieser Abschnitt ist der letzte Teil der Einrichtung der Profilkonfiguration, der optionale Funktionen zum Aktualisieren der Warnungen bereitstellt.
Vorbereitungen
Erforderliche Rolle: sn_si.adminHinweis: Der Anfangs- und der Abschlusswarnungsstatus werden nur aktualisiert, wenn diese Funktionalität vom Service Provider unterstützt wird. Weitere Informationen finden Sie in der Dokumentation Microsoft Graph-Sicherheits-API und der Dokumentation des Sicherheitsanbieters.
Prozedur
-
Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
-
Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung von Warnungen abzuschließen, wenn der Security Incident erstellt wird.
| Option oder Feld | Beschreibung |
|---|
| Aktualisiert Warnungen bei SIR-Incident-Erstellung |
Wählen Sie diese Option aus, wenn Sie den Warnungsstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus der Warnung ein Security Incident erstellt wird. Dies kann sowohl für die anfänglichen auslösenden Warnungen auftreten, die den Security Incident erstellen, als auch für zusammengefasste Warnungen. |
| Aktualisierung des anfänglichen Warnungsstatus |
Wählen Sie einen anfänglichen Warnungsstatus aus der Liste aus. Dieser Status wird für alle Warnungen festgelegt, wenn ein Security Incident für eine erfasste Warnung erstellt wird. Dies umfasst Warnungen, die neue Incidents erstellen, und Warnungen, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.Hinweis: Basierend auf dem hier ausgewählten Warnungsstatus wird der von den Sicherheitsanbietern verwendete Warnungsstatus entsprechend aktualisiert.
|
| Anfangskommentare, die an die Warnung zurückgesendet werden |
Basierend auf der von Ihnen ausgewählten Phase werden Standardkommentare angezeigt. Sie können den Standardtext ändern und das Format ${field name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern. |
| Schließen von Warnungen nach Abschluss von SIR-Incidents |
Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Warnungen verwenden möchten. Dies kann sowohl für die anfänglichen auslösenden Warnungen auftreten, die den Security Incident erstellen, als auch für zusammengefasste Warnungen. Der Warnungsstatus wird im Sicherheitsanbieter mit den Status- und Abschlusskommentaren aktualisiert, nachdem der Incident SIR im Now Platformgeschlossen wurde. |
| Aktualisierung des Abschlussstatus der Warnung |
Wählen Sie einen Warnungsstatus aus der Liste aus. Wählen Sie den Statuswert aus, der für alle Warnungen festgelegt werden soll, wenn ein Security Incident für eine erfasste Warnung geschlossen wird. |
| Abschlusskommentare werden an die Warnung zurückgesendet |
Die standardmäßigen Abschlusskommentare werden hier angezeigt. Sie können den Standardtext bearbeiten und das Format ${field name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern. |
-
Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen und das Profil in den Status Warten zu verschieben.
Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um basierend auf Ihrer Planung Warnungen aus dem -Mandanten Microsoft Azure abzurufen. Innerhalb von 24 Stunden können maximal 1.000 Security Incidents erstellt werden.