インシデントの更新とクローズの自動化
インシデントのステータスに基づいて、インシデントの更新とクローズを自動化します。Microsoft Defender 統合には双方向インターフェイスがあり、これにより、インシデントはセキュリティインシデントを作成し、セキュリティインシデントが作成またはクローズされた後にインシデントを更新できます。
始める前に
必要なロール:sn_si.admin、sn_si.ingestion_profile_admin
手順
-
フォームのフィールドに入力します。
表 : 1. [インシデントの更新の自動化] フォーム カテゴリ フィールド 説明 インシデントの作成の最新情報 SIR インシデントの作成時に Defender インシデントステータスを更新 自動インシデント更新機能を使用するオプション。Defender インシデントのステータスは、 SIR インシデントが ServiceNow AI Platformで作成された後にコメントで更新されます。 最初のインシデントのステータスの更新 Microsoft Defender 環境で更新される最初のインシデント状況。 オプションには、[アクティブ]、[処理中]、および [リダイレクト] があります。
最初のコメントがインシデントに投稿されました Defender 環境のインシデントに投稿される最初のコメント。 インシデントのクローズの更新 SIR インシデントのクローズ時に Defender インシデントをクローズ インシデント状況の自動更新機能を使用するオプション。インシデントは、 SIR インシデントが ServiceNow AI Platformでクローズされた後に指定されたコメントを使用して Defender でクローズされます。 クローズインシデントのステータスの更新 セキュリティインシデントが SIR でクローズされたときの Defender のステータス更新。 クローズコメントがインシデントに投稿されました セキュリティインシデントが SIR でクローズされたときに Defender でインシデントに投稿されたコメント。 インシデントの分類 SIR クローズコードに基づいて Microsoft Defender インシデント分類を自動的に更新するオプション。
ServiceNow で SIR がクローズされると、選択した SIR クローズコードによって、対応する Microsoft Defender インシデントの [インシデント分類] フィールドが自動的に決定され更新されます。
次のオプションが含まれます。- デフォルトのインシデント分類。
- インシデント分類 - SIR クローズコードマッピング。
Defender クローズしたインシデントをプル クローズしたインシデントをプル 進行中の取り込みおよび 1 回限りの取得中にクローズ済みインシデントをフェッチするオプション。クローズ済み SIR インシデントは、Defender からの新しいデータで更新されません。 Defender インシデントコメントと SIR 作業メモの同期 Defender インシデントコメントで SIR 作業メモを更新 セキュリティインシデントの作業メモを Defender インシデントコメントに同期するオプション。 ServiceNow のセキュリティインシデントに追加された作業メモには、「Defender ID からのコメント」というプリフィックスが付いて表示されます。
SIR 作業メモで Defender インシデントコメントを更新 Defender インシデントコメントで SIR 作業メモを更新するオプション。 Microsoft Defenderのコメントには、「ServiceNowからのコメント」というプリフィックスが付けられて表示されます。