Automatiser les mises à jour et les fermetures d’incidents en fonction de l’état de l’incident SIR
Automatisez les mises à jour et les fermetures d’incidents en fonction de l’état de l’incident SIR . L’intégration Microsoft Azure Sentinel dispose d’une interface bidirectionnelle qui permet aux deux incidents de créer des incidents de sécurité et de mettre à jour les incidents après leur création ou leur fermeture.
Avant de commencer
Microsoft a prolongé l’obsolescence de l’expérience Azure Sentinel dans le portail Azure de mars 2026 à mars 2027.
Si vous utilisez actuellement l’intégration d’Azure Sentinel avec Réponse aux incidents de sécurité (SIR), nous vous recommandons fortement de migrer vers la nouvelle intégration du portail Defender dès que possible. L’intégration de Defender inclut un utilitaire de migration intégré qui convertit automatiquement vos profils Sentinel existants en profils Defender, tout en assurant la continuité des incidents créés via Sentinel après la transition. Pour plus d’informations, consultez le Guide de migration de Microsoft Sentinel vers Defender.
Rôle requis : sn_si.ingestion_profile_admin
Procédure
-
Renseignez les champs du formulaire.
Suivez les instructions pour terminer la configuration de la mise à jour des incidents lorsque vous créez ou fermez un incident de sécurité dans SIR.
Tableau 1. Automatisation du formulaire de mise à jour des incidents Catégorie Champ Description Mises à jour de création d'incident Mettre à jour le statut des incidents Azure Sentinel lors de la création de l’incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée des incidents. L’état Microsoft Azure Sentinel de l’incident est mis à jour dans Microsoft Azure l’incident avec les commentaires après la création de l’incident dans le SIRServiceNow AI Platform. Mise à jour du statut de l'incident initial État initial de l’incident mis à jour dans l’environnement Microsoft Azure Sentinel . Vous pouvez sélectionner Nouveau ou Actif comme état. Commentaires initiaux renvoyés à l'incident Commentaires initiaux publiés sur l’incident dans l’environnement Microsoft Azure Sentinel . Modifiez le texte par défaut qui s’affiche dans la section Commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR .
Mises à jour de la clôture de l'incident Fermer les incidents Azure Sentinel lors de la fermeture de l’incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée du statut de l’incident. Microsoft Azure Sentinel Les incidents sont fermés dans l’incident Microsoft Azure avec les commentaires donnés après la fermeture de l’incident dans le SIRServiceNow AI Platform. Mise à jour du statut de l'incident de fermeture Mise à jour du statut dans l’incident Microsoft Azure Sentinel lorsque l’incident est fermé dans SIR. Commentaires de fermeture renvoyés à l’incident Commentaires qui sont publiés sur l’incident dans l’incident Microsoft Azure Sentinel lorsque l’incident est fermé dans SIR. Modifiez le texte par défaut qui s’affiche dans la section Commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR .
Classification des incidents et motif de fermeture Méthode utilisée pour la classification des incidents et le motif de fermeture utilisés pour fermer l’incident dans l’environnement Microsoft Azure Sentinel . Sélectionnez la méthode par défaut de classification des incidents et de motif de fermeture pour fermer l’incident dans l’environnement Microsoft Azure Sentinel . Lorsque vous sélectionnez cette méthode, vous devez définir la classification des incidents et le motif de fermeture par défaut. Lorsque vous fermez un incident dans SIR, l’état de l’incident dans Azure Sentinel est également fermé avec la classification des incidents par défaut et le motif de fermeture spécifiés.
Sélectionnez la méthode de mappage Classification des incidents et code de fermeture du SIR pour fermer les incidents et mapper les motifs de classification avec les SIR codes de fermeture. Vous pouvez mapper plusieurs SIR codes de fermeture à un seul motif de classification. Une fois que vous fermez un incident à SIR l’aide du code de fermeture, l’état de l’incident dans Azure Sentinel est également fermé avec la classification des incidents mappée et le motif de fermeture.
Si le motif de classification et SIR les codes de fermeture ne sont pas mappés, ou si aucune correspondance n’est trouvée, l’incident est fermé à l’aide du motif de classification par défaut « indéterminé » dans l’environnement Microsoft Azure Sentinel .
Synchronisation des commentaires d'incidents Azure Sentinel et des notes de travail SIR Mettre à jour les notes de travail SIR avec les commentaires sur l'incident Azure Sentinel Option que vous pouvez sélectionner pour mettre à jour vos Microsoft Azure Sentinel commentaires dans les notes de SIR travail. Le commentaire dans les SIR notes de travail apparaît avec le préfixe Commentaire de Sentinel. Le commentaire contient également l’ID Sentinel, les détails de l’analyste et l’horodatage. Mettre à jour les commentaires sur l'incident Azure Sentinel avec les notes de travail SIR Option que vous pouvez sélectionner pour mettre à jour vos SIR notes de travail dans les commentaires sur l’incident Microsoft Azure Sentinel . Le commentaire apparaît Microsoft Azure Sentinel avec le préfixe Commentaire de ServiceNow. L’exemple suivant montre les options de configuration disponibles pour automatiser les mises à jour des incidents.