検出の更新とクローズを自動化
セキュリティインシデントレスポンスインシデントのステータスに基づいて、検出の更新とクローズを自動化します。CrowdStrike Next-Gen SIEM 統合により、検出でセキュリティインシデントを作成し、作成またはクローズ後にインシデントを更新することもできます。
始める前に
必要なロール:sn_si.ingestion_profile_admin
注:
デフォルトでは sn_si.admin ロールが必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが利用できるすべての操作を実行できます。
手順
- Scheduling プロセスの前のセクションに進まない場合は、定義しているプロファイルにアクセスします。
- 移動先 すべて > CrowdStrike Next-Gen SIEM > 検出プロファイル.
- 定義を続行するプロファイルを選択します。
- 進捗状況バーで [他のオプション ] を選択します。
-
フォームのフィールドに入力します。
表 : 1. [検出更新の自動化] フォーム カテゴリ フィールド 説明 セキュリティインシデント作成の最新情報 SIR インシデントの作成時に CrowdStrike 次世代検出ステータスを更新 自動検出更新機能を使用するオプション。CrowdStrike Next-Gen SIEM検出ステータスは、ServiceNow AI PlatformでSIRインシデントが作成された後CrowdStrike Next-Gen SIEMコメント付きで更新されます。 最初の検出ステータスの更新 CrowdStrike Next-Gen SIEM環境で更新される初期検出ステータス (新規または処理中)。 最初のコメントが検出に返信されました CrowdStrike Next-Gen SIEM環境で検出に投稿される最初のコメント。 検出クローズの更新 SIR インシデントのクローズ時に CrowdStrike 次世代検出をクローズする 自動検出ステータス更新機能を使用するオプション。 CrowdStrike Next-Gen SIEM 検出は、 CrowdStrike Next-Gen SIEM ポータルでクローズされ、 SIR インシデントが ServiceNow AI Platformでクローズされた後に指定されたコメントが付与されます。 クローズ検出ステータスの更新 セキュリティインシデントが SIR でクローズされたときのCrowdStrike Next-Gen SIEM検出のステータス更新。 クローズコメントが検出に投稿されました セキュリティインシデントが SIR でクローズされたときに、CrowdStrike Next-Gen SIEM検出の検出に投稿されたコメント。 クローズ済み検出をプル クローズ済み検出をプル 進行中の取り込みおよび 1 回限りの取得中にクローズ済み検出をフェッチするオプション。クローズ済み SIR インシデントは、からの新しいデータで更新されません CrowdStrike Next-Gen SIEM 検出コメントと SIR 作業メモの同期 CrowdStrike 次世代検出コメントで SIR 自動化アクティビティを更新 SIR自動化アクティビティのCrowdStrike Next-Gen SIEMコメントを更新するオプション。SIR 自動化アクティビティのコメントには、「CrowdStrike からのコメント」というプリフィックスが付けられて表示されます。 SIR 作業メモで CrowdStrike Next-Gen SIEM 検出コメントを更新 CrowdStrike Next-Gen SIEM検出コメントでSIR作業メモを更新するオプション。CrowdStrike Next-Gen SIEM のコメントは、「Comment from ServiceNow」というプリフィックス付きで表示されます。 - [完了] を選択します。
-
プロファイルを有効化します。
- 進捗状況バーの [ 名前 ] セクションを選択します。
- [Active (有効)] チェックボックスをオンにします。
- [続行] を選択します。