Automatisieren Sie die Aktualisierung und den Abschluss von Warnungen basierend auf dem SIR-Incident-Status

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Die Integration zur Erfassung von -Warnungen für Microsoft Graph-Sicherheits-API verfügt über eine bidirektionale Schnittstelle, über die sowohl Warnungen als auch Security Incidents erstellt werden können. Außerdem können die Warnungen aktualisiert werden, sobald der Security Incident mit relevanten Incident-Details wie dem Incident SIR erstellt und/oder geschlossen wurde Nummer, Zuweisungsgruppe, SIR Incident-URL usw. T

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:
    Der anfängliche und der Abschlussstatus der Warnung werden nur aktualisiert, wenn diese Funktionalität vom Service Provider unterstützt wird. Einzelheiten finden Sie in der Dokumentation Microsoft Graph-Sicherheits-API und in der Dokumentation des Sicherheitsanbieters.

    Prozedur

    1. Wenn die Seite „Zusätzliche Optionen“ in der Fortschrittsleiste nicht angezeigt wird, wählen Sie Zusätzliche Optionenaus.
    2. Befolgen Sie die nachstehenden Anweisungen, um die Konfiguration für die Aktualisierung von Warnungen abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisiert Warnungen bei Erstellung des SIR-Incidents Wählen Sie diese Option aus, wenn Sie den Warnungsstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus der Warnung ein Security Incident erstellt wird. Dies kann sowohl für die ersten auslösenden Warnungen gelten, die den Security Incident erstellen, als auch für zusammengefasste Warnungen.
      Aktualisierung des anfänglichen Warnungsstatus Wählen Sie einen anfänglichen Warnungsstatus aus der Liste aus. Dieser Status wird für alle Warnungen festgelegt, wenn ein Security Incident für eine erfasste Warnung erstellt wird. Dies umfasst Warnungen, die neue Incidents erstellen, und Warnungen, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Hinweis:
      Basierend auf dem hier ausgewählten Warnungsstatus wird der von den Sicherheitsanbietern verwendete Warnungsstatus entsprechend aktualisiert.
      Anfangskommentare, die an die Warnung zurückgesendet werden Basierend auf der von Ihnen ausgewählten Phase werden Standardkommentare angezeigt. Sie können den Standardtext ändern und das Format ${Feldname}$ verwenden, um beliebige Felder hinzuzufügen oder zu ändern, die im Formular „Security Incident“ verfügbar sind.
      Schließen von Warnungen bei Abschluss des SIR-Incidents Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Warnungen verwenden möchten. Dies kann sowohl für die ersten auslösenden Warnungen gelten, die den Security Incident erstellen, als auch für zusammengefasste Warnungen. Der Warnungsstatus wird im Sicherheitsanbieter mit dem Status und den Abschlusskommentaren aktualisiert, nachdem der Incident SIR in Now Platformgeschlossen wurde.
      Aktualisierung des Abschlussstatus der Warnung Wählen Sie einen Warnungsstatus aus der Liste aus. Wählen Sie den Statuswert aus, der für alle Warnungen festgelegt werden soll, wenn ein Security Incident für eine erfasste Warnung geschlossen wird.
      Abschlusskommentare, die an die Warnung zurückgesendet werden Die standardmäßigen Abschlusskommentare werden hier angezeigt. Sie können den Standardtext bearbeiten und das Format ${Feldname}$ verwenden, um im Formular „Security Incident“ verfügbare Felder hinzuzufügen oder zu ändern.
    3. Klicken Sie auf Fertigstellen, um die Konfiguration abzuschließen und das Profil in den Status Warten zu versetzen.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um -Warnungen basierend auf Ihrer Planung aus dem -Mandanten Microsoft Azure abzurufen. Innerhalb von 24 Stunden können maximal 1.000 Security Incidents erstellt werden.