Microsoft Graph Security API アラートには、アラートからセキュリティインシデントを作成する機能と、SIR インシデント番号、アサイン先グループ、SIR インシデント URL などの関連するインシデントの詳細を使用して、セキュリティインシデントが作成および/またはクローズされるとアラートを更新する機能を許可する双方向インターフェイスがあります。T
始める前に
必要なロール:sn_si.admin注: 初期アラートとクローズアラートのステータスは、この機能がサービスプロバイダーによってサポートされている場合にのみ更新されます。詳細については、Microsoft Graph Security API のドキュメントおよびセキュリティプロバイダーのドキュメントを参照してください。
手順
-
進捗状況バーに [その他のオプション] ページが表示されない場合は、[その他のオプション] を選択します。
-
以下の手順に従って、セキュリティインシデントが作成されたときにアラートを更新するための構成を完了します。
| オプションまたはフィールド | 説明 |
|---|
| SIR インシデントの作成時にアラートを更新する |
セキュリティインシデントがアラートから作成されたときにアラートステータスを更新し、コメントを追加する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガーアラートと集計されたアラートの両方で発生します。 |
| 初期アラートステータスの更新 |
リストから初期アラートステータスを選択します。取り込まれたアラートに対してセキュリティインシデントが作成されると、このステータスがすべてのアラートに設定されます。これには、新しいインシデントを作成するアラートと、取り込まれて既存のオープンインシデントに集計されるアラートが含まれます。注: ここで選択したアラートステータスに基づいて、セキュリティプロバイダーによって使用されるアラートステータスが更新されます。
|
| 最初のコメントがアラートに投稿されました |
選択したステージに基づいて、デフォルトのコメントが表示されます。デフォルトのテキストを変更し、${field name}$ 形式を使用して、セキュリティインシデントフォームで利用可能なフィールドを追加または変更できます。 |
| SIR インシデントのクローズ時にアラートをクローズする |
自動アラートクローズオプションを使用する場合は、このオプションを選択します。これは、セキュリティインシデントを作成する最初のトリガーアラートと集計されたアラートの両方で発生します。SIR インシデントが ServiceNow AI Platform でクローズされた後、セキュリティプロバイダーでアラートステータスがステータスおよびクローズコメントで更新されます。 |
| クローズアラートステータスの更新 |
リストからアラートステータスを選択します。取り込まれたアラートに対してセキュリティインシデントがクローズされるとすべてのアラートに設定されるステータス値を選択します。 |
| クローズコメントがアラートに投稿されました |
デフォルトのクローズコメントがここに表示されます。デフォルトのテキストを編集し、${field name}$ 形式を使用して、セキュリティインシデントフォームで利用可能なフィールドを追加または変更できます。 |
-
[完了] をクリックして構成を完了し、プロファイルを [待機中] ステータスに移行します。
確認ダイアログが表示されます。これで統合のセットアップと構成が正常に完了しました。このプロファイルをアクティブ化して、スケジューリングに基づいて Microsoft Azure テナントからアラートをプルします。24 時間以内に最大 1000 件のセキュリティインシデントを作成できます。