Automatiser la mise à jour et la fermeture des alertes en fonction de l’état de l’incident SIR

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • L’intégration API de sécurité Microsoft Graph d’ingestion d’alertes dispose d’une interface bidirectionnelle qui permet aux deux alertes de créer des incidents de sécurité, ainsi qu’une capacité à mettre à jour les alertes une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que SIR le numéro d’incident, le groupe d’affectation, SIR l’URL de l’incident, et ainsi de suite. T

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :
    Les statuts d’alerte initiale et de fermeture ne sont mis à jour que si cette fonctionnalité est prise en charge par le fournisseur de service. Pour en savoir plus, consultez la documentation et la API de sécurité Microsoft Graph documentation du fournisseur de sécurité.

    Procédure

    1. Si la page Options supplémentaires de la barre de progression ne s’affiche pas, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des alertes lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les alertes lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour le statut de l’alerte et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’alerte. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées.
      Mise à jour du statut de l’alerte initiale Sélectionnez un état d’alerte initial dans la liste. Cet état est défini pour toutes les alertes lorsqu’un incident de sécurité est créé pour une alerte ingérée. Cela inclut les alertes qui créent de nouveaux incidents et les alertes qui sont ingérées et agrégées à un incident ouvert existant.
      Remarque :
      En fonction de l’état d’alerte sélectionné ici, l’état d’alerte utilisé par les fournisseurs de sécurité est mis à jour en conséquence.
      Commentaires initiaux renvoyés à l’alerte En fonction de l’étape que vous avez sélectionnée, les commentaires par défaut s’affichent. Vous pouvez modifier le texte par défaut et utiliser le format ${nom de champ}$ pour ajouter ou modifier des champs disponibles dans le formulaire d’incident de sécurité.
      Fermer les alertes lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatisée des alertes. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées. Le statut de l’alerte est mis à jour dans le fournisseur de sécurité avec les commentaires de statut et de fermeture après SIR la fermeture de l’incident dans le ServiceNow AI Platform.
      Mise à jour du statut de l’alerte de fermeture Sélectionnez un état d’alerte dans la liste. Sélectionnez la valeur d’état à définir pour toutes les alertes lorsqu’un incident de sécurité est fermé pour une alerte ingérée.
      Commentaires de fermeture renvoyés à l’alerte Les commentaires de fermeture par défaut sont affichés ici. Vous pouvez modifier le texte par défaut et utiliser le format ${nom de champ}$ pour ajouter ou modifier des champs disponibles dans le formulaire d’incident de sécurité.
    3. Cliquez sur Terminer pour terminer la configuration et faire passer le profil à l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé les installations et la configuration de l’intégration. Activez ce profil pour extraire les Microsoft Azure alertes du locataire en fonction de votre planification. Un maximum de 1 000 incidents de sécurité peut être créé dans une période de 24 heures.