Automatisieren Sie die Aktualisierungen und Abschlüsse von Incidents anhand des Incident-Status SIR .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Automatisieren Sie die Aktualisierungen und Abschlüsse von Incidents anhand des Incident-Status SIR. Die Microsoft Azure Sentinel -Integration verfügt über eine bidirektionale Schnittstelle, über die sowohl Incidents Security Incidents erstellen als auch Incidents aktualisiert werden, nachdem der Security Incident erstellt oder geschlossen wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Tragen Sie die Details in das Formular ein.
      Befolgen Sie die Anweisungen zum Abschließen der Konfiguration für die Aktualisierung von Incidents, wenn Sie in SIReinen Security Incident erstellen oder schließen.
      Tabelle : 1. Formular „Automatisieren von Incident-Updates“.
      Kategorie Feld Beschreibung
      Aktualisierungen der Incident-Erstellung Aktualisiert den Status von Azure Sentinel-Incidents bei der Erstellung des SIR-Incidents Mit dieser Option können Sie die Funktion zur automatisierten Aktualisierung von Incidents verwenden. Der Incident-Status Microsoft Azure Sentinel wird in Incident Microsoft Azure mit den Kommentaren aktualisiert, nachdem der Incident SIR in Now Platformerstellt wurde.
      Anfangsstatusaktualisierung für Incident Anfänglicher Incident-Status, der in der Umgebung Microsoft Azure Sentinel aktualisiert wird. Sie können Neu oder Aktiv als Status auswählen.
      Anfangskommentare, die an den Incident zurückgesendet werden Anfangskommentare, die zum Incident in der Umgebung Microsoft Azure Sentinel veröffentlicht werden.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im Incident-Formular SIR hinzufügen oder ändern.
      Updates zum Incident-Abschluss Schließt Azure Sentinel-Incidents bei Abschluss des SIR-Incidents Option, mit der Sie die automatisierte Funktion zum Aktualisieren des Incident-Status verwenden können. Microsoft Azure Sentinel Incidents werden im Incident Microsoft Azure ] geschlossen, wobei die Kommentare nach dem Schließen des incident SIR in Now Platformangegeben werden.
      Statusaktualisierung für Abschluss-Incident Statusaktualisierung im Incident Microsoft Azure Sentinel, wenn der Incident in SIRgeschlossen wird.
      Abschlusskommentare, die an den Incident zurückgesendet werden Kommentare, die für den Incident im Incident Microsoft Azure Sentinel veröffentlicht werden, wenn der Incident in SIRgeschlossen wird.

      Bearbeiten Sie den Standardtext, der im Kommentarbereich angezeigt wird, indem Sie die Ersetzungsvariablen im Format $⁠{Feldname}$ für ein beliebiges Feld im Incident-Formular SIR hinzufügen oder ändern.
      Incident-Klassifizierung und Abschlussgrund Methode für die Incident-Klassifizierung und den Abschlussgrund, die zum Schließen des Incidents in der Umgebung Microsoft Azure Sentinel verwendet wird.

      Wählen Sie die Methode Standard für Incident-Klassifizierung und Abschlussgrund aus, um den Incident in der Umgebung Microsoft Azure Sentinel zu schließen. Wenn Sie diese Methode auswählen, müssen Sie die standardmäßige Incident-Klassifizierung und den Abschlussgrunddefinieren. Wenn Sie einen Incident in SIR schließen, wird auch der Incident-Status in Azure Sentinel mit der angegebenen Standard-Incident-Klassifizierung und dem Abschlussgrundgeschlossen.

      Wählen Sie die Zuordnungsmethode Incident-Klassifizierung und Abschlussgrund – SIR-Abschlusscode aus, um die Incidents zu schließen und die Klassifizierungsgründe den Abschlusscodes SIR zuzuordnen. Sie können einem einzigen Klassifizierungsgrund mehrere SIR Lösungscodes zuordnen. Nachdem Sie einen Incident in SIR mit dem Abschlusscode geschlossen haben, wird der Incident-Status in Azure Sentinel auch mit der zugeordneten Incident-Klassifizierung und dem Abschlussgrund geschlossen.

      Wenn der Klassifizierungsgrund und die SIR Abschlusscodes nicht zugeordnet sind oder keine Übereinstimmung gefunden wird, wird der Incident mit dem standardmäßigen Klassifizierungsgrund als „Unbestimmt“ in der Umgebung Microsoft Azure Sentinel geschlossen.
      Synchronisierung von Azure Sentinel-Incident-Kommentaren und SIR-Arbeitsnotizen SIR-Arbeitsnotizen mit Azure Sentinel-Incident-Kommentaren aktualisieren Option, die Sie auswählen können, um Ihre Microsoft Azure Sentinel -Kommentare in den SIR -Arbeitsnotizen zu aktualisieren. Der Kommentar in den Arbeitsnotizen SIR wird mit dem Präfix Kommentar von Sentinelangezeigt. Der Kommentar enthält auch die Sentinel-ID, Details zum Analysten und den Zeitstempel.
      Azure Sentinel-Incident-Kommentare mit SIR-Arbeitsnotizen aktualisieren Option, die Sie auswählen können, um Ihre SIR -Arbeitsnotizen in den Microsoft Azure Sentinel -Incident-Kommentaren zu aktualisieren. Der Kommentar in Microsoft Azure Sentinel wird mit dem Präfix Kommentar von ServiceNowangezeigt.

      Das folgende Beispiel zeigt die Konfigurationsoptionen, die für die Automatisierung der Incident-Aktualisierung verfügbar sind.

      Optionen für die Automatisierung von Incidents.
    2. Klicken Sie auf Fertigstellen.

    Nächste Maßnahme

    Das Profil wechselt in den Status Warten. Wenn in der Bestätigungsmeldung angezeigt wird, dass das Setup und die Konfiguration abgeschlossen sind, können Sie das Profil aktivieren.