Automatiser les mises à jour et les fermetures d’incident

Rversion finale: Australia

Mis à jour 12 mars 2026

2 minutes de lecture

Automatisez les mises à jour et les fermetures d’incident en fonction de leur état. L’intégration Microsoft Defender dispose d’une interface bidirectionnelle qui permet aux incidents de créer des incidents de sécurité et de mettre à jour les incidents après leur création ou leur fermeture.

Avant de commencer

Rôle requis : sn_si.admin, sn_si.ingestion_profile_admin

Procédure

Si vous ne poursuivez pas à partir de la section précédente du processus de planification, accédez au profil que vous définissez.
1. Accédez à la Tous > Intégration de Microsoft Defender > Profils d'incidents Defender.
2. Sélectionnez le profil que vous continuez à définir.
3. Sélectionnez Options supplémentaires dans la barre de progression.

Remplissez les champs du formulaire.

Tableau 1. Automatisation du formulaire de mise à jour des incidents
Catégorie	Champ	Description
Mises à jour de création d'incident	Mettre à jour l’état de l’incident Defender lors de la création de l’incident SIR	Option permettant d’utiliser la fonctionnalité de mise à jour automatisée des incidents. L’état de l’incident Defender est mis à jour avec les commentaires après la création de l’incident dans le SIRServiceNow AI Platform.
	Mise à jour du statut de l'incident initial	État initial de l’incident mis à jour dans l’environnement Microsoft Defender . Les options incluent : Actif, En cours et Redirigé.
	Commentaires initiaux renvoyés à l'incident	Commentaires initiaux publiés sur l’incident dans l’environnement Defender.
Mises à jour de la clôture de l'incident	Fermer l’incident Defender lors de la fermeture de l’incident SIR	Option permettant d’utiliser la fonctionnalité de mise à jour automatisée du statut de l’incident. Les incidents sont fermés dans Defender avec les commentaires donnés après la fermeture de l’incident dans le SIRServiceNow AI Platform.
	Mise à jour de statut de l'incident de fermeture	Mise à jour de statut dans Defender lorsque l’incident de sécurité est fermé dans SIR.
	Commentaires de fermeture renvoyés à l’incident	Commentaires publiés sur l’incident dans Defender lorsque l’incident de sécurité est fermé dans SIR.
	Classification des incidents	Option permettant de mettre à jour Microsoft Defender automatiquement la classification des incidents en fonction du code de fermeture SIR. Lorsqu’un SIR est fermé dans ServiceNow, le code de fermeture sélectionné SIR détermine et met automatiquement à jour le champ Classification de l’incident dans l’incident correspondant Microsoft Defender . Les options incluent : Classification des incidents par défaut. Mappage du code de fermeture classification des incidents et SIR.
Defender : extraire les incidents fermés	Extraire les incidents fermés	Option permettant d’extraire les incidents fermés pendant l’ingestion en cours et la récupération ponctuelle. Les incidents fermés SIR ne seront pas mis à jour avec les nouvelles données de Defender.
Synchronisation des commentaires d'incidents Defender et des notes de travail SIR	Mettre à jour notes de travail SIR avec les commentaires sur l'incident Defender	Option permettant de synchroniser les notes de travail de l’incident de sécurité avec les commentaires sur l’incident Defender. Notes de travail ajoutées aux incidents de sécurité dans ServiceNow apparaît avec le préfixe : commentaire de l’ID Defender.
	Mettre à jour les commentaires sur l'incident Defender avec notes de travail SIR	Option permettant de mettre à jour vos notes de travail SIR dans les commentaires sur l’incident Defender. Le commentaire apparaît avec Microsoft Defender le préfixe : Commentaire de ServiceNow.

Options d’automatisation des incidents

Sélectionnez Terminer.
Activez le profil.
1. Sélectionnez la section Nom de la barre de progression.
2. Sélectionnez la case à cocher Activé.
3. Sélectionnez Continuer.