Automatiser les mises à jour et la fermeture des alertes en fonction de l’état de l’incident SIR

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’intégration API de sécurité Microsoft Graph de l’ingestion d’alertes dispose d’une interface bidirectionnelle qui permet aux alertes de créer des incidents de sécurité, ainsi que de mettre à jour les alertes une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que SIR le numéro d’incident, le groupe d’affectation, SIR l’URL de l’incident, etc. Cette section est la dernière partie de la configuration du profil qui fournit des options facultatives pour mettre à jour les alertes.

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :
    Les états d’alerte initiale et de fermeture ne sont mis à jour que si cette fonctionnalité est prise en charge par le fournisseur de service. Pour en savoir plus, consultez la documentation et celle API de sécurité Microsoft Graph du fournisseur de sécurité.

    Procédure

    1. Si la page Options supplémentaires de la barre de progression n’est pas affichée, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de mise à jour des alertes lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les alertes lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’alerte et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’alerte. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées.
      Mise à jour de l’état de l’alerte initiale Sélectionnez un état d’alerte initial dans la liste. Cet état sera défini pour toutes les alertes lorsqu’un incident de sécurité est créé pour une alerte ingérée. Cela inclut les alertes qui créent de nouveaux incidents et les alertes qui sont ingérées et agrégées à un incident ouvert existant.
      Remarque :
      En fonction de l’état d’alerte sélectionné ici, l’état d’alerte utilisé par les fournisseurs de sécurité sera mis à jour en conséquence.
      Commentaires initiaux renvoyés à l’alerte En fonction de l’étape que vous avez sélectionnée, les commentaires par défaut s’affichent. Vous pouvez modifier le texte par défaut et utiliser le format ${field name}$ pour ajouter ou modifier tous les champs disponibles dans le formulaire d’incident de sécurité.
      Fermer les alertes lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatisée des alertes. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées. L’état de l’alerte est mis à jour dans le fournisseur de sécurité avec les commentaires d’état et de fermeture après SIR la fermeture de l’incident dans le Now Platform.
      Mise à jour de l’état d’alerte de fermeture Sélectionnez un état d’alerte dans la liste. Sélectionnez la valeur d’état à définir pour toutes les alertes lorsqu’un incident de sécurité est fermé pour une alerte ingérée.
      Commentaires de fermeture renvoyés à l’alerte Les commentaires de fermeture par défaut s’affichent ici. Vous pouvez modifier le texte par défaut et utiliser le format ${field name}$ pour ajouter ou modifier tous les champs disponibles dans le formulaire d’incident de sécurité.
    3. Cliquez sur Terminer pour terminer la configuration et faire passer le profil à l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des alertes du Microsoft Azure locataire en fonction de votre planification. Un maximum de 1 000 incidents de sécurité peuvent être créés dans un délai de 24 heures.