SIR インシデントステータスによるインシデントの更新とクローズの自動化
SIR インシデントステータスによって、インシデントの更新とクローズを自動化します。Microsoft Azure Sentinel 統合には、両方のインシデントがセキュリティインシデントを作成し、セキュリティインシデントが作成またはクローズされた後にインシデントを更新できるようにする、双方向のインターフェイスがあります。
始める前に
必要なロール:sn_si.admin
手順
-
フォームで、詳細を入力します。
手順に従って、SIR でセキュリティインシデントを作成またはクローズしたときにインシデントを更新するための構成を完了します。
表 : 1. [インシデントの更新の自動化] フォーム カテゴリ フィールド 説明 インシデントの作成の最新情報 SIR インシデントの作成時に Azure Sentinel インシデントステータスを更新 自動インシデント更新機能を使用できるようにするオプション。Microsoft Azure Sentinel インシデントステータスは、SIR インシデントが Now Platform に作成された後にコメントとともに Microsoft Azure インシデントで更新されます。 最初のインシデントのステータスの更新 Microsoft Azure Sentinel 環境で更新される最初のインシデントステータス。ステータスとして [新規] または [アクティブ] を選択できます。 最初のコメントがインシデントに投稿されました Microsoft Azure Sentinel 環境でインシデントに投稿される最初のコメント。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストを編集することができます。
インシデントのクローズの更新 SIR インシデントのクローズ時に Azure Sentinel インシデントをクローズ インシデントステータスの自動更新機能を使用できるようにするオプション。Microsoft Azure Sentinel インシデントは、SIR インシデントが Now Platform でクローズされた後に指定されたコメントとともに Microsoft Azure インシデントでクローズされます。 クローズインシデントのステータスの更新 SIR でインシデントがクローズされると、Microsoft Azure Sentinel インシデントでステータスが更新されます。 クローズコメントがインシデントに投稿されました SIR でインシデントがクローズされたときに、Microsoft Azure Sentinel インシデントでインシデントに投稿されるコメント。 SIR インシデントフォームの任意のフィールドでフォーマット ${field name}$ を使用して置換変数を追加または変更することで、[コメント] セクションに表示されるデフォルトテキストを編集することができます。
インシデント分類とクローズ理由 Microsoft Azure Sentinel 環境でインシデントをクローズするために使用される、インシデントの分類方法とクローズ理由。 Microsoft Azure Sentinel 環境でインシデントをクローズするには、方法として [デフォルトのインシデント分類とクローズ理由] を選択します。この方法を選択する場合は、[デフォルトのインシデント分類とクローズ理由] を定義する必要があります。SIR でインシデントをクローズすると、指定された [デフォルトのインシデント分類とクローズ理由] で Azure Sentinel のインシデントステータスもクローズされます。
インシデントをクローズし、分類理由を SIR クローズコードにマッピングするには、方法として [インシデントの分類とクローズ理由:SIR クローズコードマッピング] を選択します。複数の SIR クローズコードを単一の分類理由にマップできます。クローズコードを使用して SIR でインシデントをクローズすると、マッピングされたインシデント分類とクローズ理由で Azure Sentinel のインシデントステータスもクローズされます。
分類理由と SIR クローズコードがマッピングされていない場合、または一致が見つからない場合、Microsoft Azure Sentinel 環境で「未定」というデフォルトの分類理由を使用してインシデントがクローズされます。
Azure Sentinel インシデントコメントと SIR 作業メモの同期 Azure Sentinel インシデントコメントで SIR 作業メモを更新 SIR 作業メモの Microsoft Azure Sentinel コメントを更新するために選択できるオプション。SIR 作業メモのコメントは、「Comment from Sentinel」というプリフィックス付きで表示されます。コメントには、Sentinel ID、アナリストの詳細、およびタイムスタンプも含まれています。 SIR 作業メモで Azure Sentinel インシデントコメントを更新 Microsoft Azure Sentinel インシデントコメントの SIR 作業メモを更新するために選択できるオプション。Microsoft Azure Sentinel のコメントは、「Comment from ServiceNow」というプリフィックス付きで表示されます。 次の例は、インシデントの更新を自動化するために使用できる構成オプションを示しています。