Automatiser les mises à jour et les fermetures d’incidents en fonction de l’état de l’incident SIR

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Automatisez les mises à jour et les fermetures d’incidents en fonction de l’état de l’incident SIR . L’intégration Microsoft Azure Sentinel dispose d’une interface bidirectionnelle qui permet aux deux incidents de créer des incidents de sécurité et de mettre à jour les incidents après la création ou la fermeture de l’incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Renseignez les détails du formulaire.
      Suivez les instructions pour terminer la configuration de mise à jour des incidents lorsque vous créez ou fermez un incident de sécurité dans SIR.
      Tableau 1. Formulaire Automatisation des mises à jour des incidents
      Catégorie Champ Description
      Mises à jour de création d'incident Mettre à jour l’état des incidents Azure Sentinel lors de la création d’un incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée des incidents. L’état Microsoft Azure Sentinel de l’incident est mis à jour dans Microsoft Azure l’incident avec les commentaires après la création de l’incident SIR dans le Now Platform.
      Mise à jour de l'état de l'incident initial État de l’incident initial mis à jour dans l’environnement Microsoft Azure Sentinel . Vous pouvez sélectionner l’état Nouveau ou Actif .
      Commentaires initiaux renvoyés à l'incident Commentaires initiaux qui sont publiés sur l’incident dans l’environnement Microsoft Azure Sentinel .

      Modifiez le texte par défaut qui s’affiche dans la section Commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR .
      Mises à jour de la clôture de l'incident Fermer les incidents Azure Sentinel lors de la fermeture de l’incident SIR Option qui vous permet d’utiliser la fonctionnalité de mise à jour automatisée du statut de l’incident. Microsoft Azure Sentinel Les incidents sont fermés dans l’incident Microsoft Azure avec les commentaires donnés après la fermeture de l’incident SIR dans le Now Platform.
      Mise à jour de l'état de l'incident de fermeture Mise à jour de l’état dans l’incident Microsoft Azure Sentinel lorsque l’incident est fermé dans SIR.
      Commentaires de fermeture renvoyés à l’incident Commentaires qui sont publiés sur l’incident dans l’incident Microsoft Azure Sentinel lorsque celui-ci est fermé dans SIR.

      Modifiez le texte par défaut qui s’affiche dans la section Commentaires en ajoutant ou en modifiant les variables de substitution en utilisant le format ${nom de champ}$ pour n’importe quel champ du formulaire d’incident SIR .
      Classification des incidents et motif de fermeture Méthode pour la classification des incidents et le motif de fermeture utilisée pour fermer l’incident dans l’environnement Microsoft Azure Sentinel .

      Sélectionnez la méthode de classification des incidents et de motif de fermeture par défaut pour fermer l’incident dans l’environnement Microsoft Azure Sentinel . Lorsque vous sélectionnez cette méthode, vous devez définir la classification des incidents et le motif de fermeture par défaut. Lorsque vous fermez un incident dans SIR, l’état de l’incident dans Azure Sentinel est également fermé avec la classification d’incident par défaut et le motif de fermeture spécifiés.

      Sélectionnez la méthode de mappage Classification des incidents et motif de fermeture-code de fermeture SIR pour fermer les incidents et mapper les motifs de classification sur les SIR codes de fermeture. Vous pouvez mapper plusieurs SIR codes de fermeture à un seul motif de classification. Une fois que vous avez fermé un incident à SIR l’aide du code de fermeture, l’état de l’incident dans Azure Sentinel est également fermé avec la classification d’incident mappée et le motif de fermeture.

      Si le motif de classification et SIR les codes de fermeture ne sont pas mappés, ou si aucune correspondance n’est trouvée, l’incident est fermé à l’aide du motif de classification par défaut « Non déterminé » dans l’environnement Microsoft Azure Sentinel .
      Synchronisation des commentaires d'incidents Azure Sentinel et des notes de travail SIR Mettre à jour les notes de travail SIR avec les commentaires sur l'incident Azure Sentinel Option que vous pouvez sélectionner pour mettre à jour vos Microsoft Azure Sentinel commentaires dans les notes de SIR travail. Le commentaire dans les notes de travail s’affiche SIR avec le préfixe Commentaire from Sentinel. Le commentaire contient également l’ID Sentinel, les détails de l’analyste et l’horodatage.
      Mettre à jour les commentaires sur l'incident Azure Sentinel avec les notes de travail SIR Option que vous pouvez sélectionner pour mettre à jour vos SIR notes de travail dans les commentaires d’incident Microsoft Azure Sentinel . Le commentaire dans Microsoft Azure Sentinel apparaît avec le préfixe Commentaire de ServiceNow.

      L’exemple suivant montre les options de configuration disponibles pour automatiser les mises à jour des incidents.

      Options pour automatiser les incidents.
    2. Cliquez sur Terminer.

    Que faire ensuite

    Le profil passe à l’état En attente. Lorsque le message de confirmation indique que l’installation et la configuration sont terminées, vous pouvez activer le profil.