인시던트 상태별로 SIR 인시던트 업데이트 및 종결 자동화

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 인시던트 상태별로 인시던트 업데이트 및 종결을 자동화합니다 SIR . 통합에는 Microsoft Azure Sentinel 양방향 인터페이스가 있어 두 인시던트 모두 보안 인시던트를 생성하고, 보안 인시던트가 생성되거나 종결된 후에 인시던트를 업데이트할 수 있습니다.

    시작하기 전에

    중요사항:

    Microsoft는 Azure Portal에서 Azure Sentinel 환경의 사용 중단을 2026년 3월에서 2027년 3월로 연장했습니다.

    현재 SIR(보안 인시던트 응답)과 Azure Sentinel 통합을 사용하는 경우 가능한 한 빨리 새 Defender 포털 통합으로 마이그레이션하는 것이 좋습니다. Defender 통합에는 기존 Sentinel 프로파일을 Defender 프로파일로 자동 변환하는 동시에 전환 후 Sentinel을 통해 생성된 인시던트의 연속성을 보장하는 기본 제공 마이그레이션 유틸리티가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel에서 Defender로의 마이그레이션 가이드를 참조하세요.

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    프로시저

    1. 예약 프로세스의 이전 섹션에서 계속하지 않는 경우 정의하는 프로파일에 액세스합니다.
      1. 다음으로 이동 모두 > Microsoft Azure Sentinel 통합 > Azure Sentinel 인시던트 프로파일.
      2. 계속해서 정의 중인 프로파일을 선택합니다.
      3. 진행률 표시줄에서 추가 옵션을 선택합니다.
    2. 양식에 상세 정보를 입력합니다.
      에서 보안 인시던 SIR트를 만들거나 종결할 때 지침에 따라 인시던트를 업데이트하기 위한 구성을 완료합니다.
      표 1. 인시던트 업데이트 자동화 양식
      범주 필드 설명
      인시던트 작성 업데이트 SIR 인시던트 작성 시 Azure Sentinel 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 인시던트 상태는 인시던트가 생성된 후 SIR 주석으로 인시던트에서 Microsoft Azure 업데이트됩니다.ServiceNow AI Platform
      초기 인시던트 상태 업데이트 환경에서 업데이트되는 초기 인시던트 상태입니다.Microsoft Azure Sentinel 상태로 신규 또는 활성을 선택할 수 있습니다.
      인시던트에 다시 게시된 초기 설명 환경의 인시던트에 게시된 초기 설명입니다 Microsoft Azure Sentinel .

      인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
      인시던트 종결 업데이트 SIR 인시던트 종결 시 Azure Sentinel 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 인시던트는 에서 인시던트가 종결ServiceNow AI Platform된 후 SIR 제공된 설명과 함께 인시던트에서 Microsoft Azure 종결됩니다.
      종결 인시던트 상태 업데이트 에서 인시던트가 종결SIR될 때 인시던트 Microsoft Azure Sentinel 의 상태 업데이트입니다.
      인시던트에 다시 게시된 종결 설명 에서 SIR인시던트가 종결될 때 인시던트의 Microsoft Azure Sentinel 인시던트에 게시되는 설명입니다.

      인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
      인시던트 분류 및 종결 사유 환경에서 인시던 Microsoft Azure Sentinel 트를 종료하는 데 사용되는 인시던트 분류 및 종결 사유에 대한 방법입니다.

      환경에서 인시던트를 종료하려면 기본 인시던트 분류 및 종결 사유 방법을 선택합니다.Microsoft Azure Sentinel 이 방법을 선택하는 경우 기본 인시던트 분류 및 종결 사유를 정의해야 합니다. SIR에서 인시던트를 종결하면 지정된 기본 인시던트 분류 및 종결 사유와 함께 Azure Sentinel의 인시던트 상태도 종결됩니다.

      인시던트 분류 및 종결 사유-SIR 종결 코드 매핑 방법을 선택하여 인시던트를 종결하고 분류 이유를 종결 코드와 SIR 매핑합니다. 여러 SIR 종결 코드를 단일 분류 이유에 매핑할 수 있습니다. 종결 코드를 사용하여 인시던 SIR 트를 종결하면 Azure Sentinel의 인시던트 상태도 매핑된 인시던트 분류 및 종결 사유와 함께 종결됩니다.

      분류 이유와 SIR 종결 코드가 매핑되지 않았거나 일치하는 항목을 찾을 수 없으면 환경에서 기본 분류 이유를 "미확인" Microsoft Azure Sentinel 으로 사용하여 인시던트가 종결됩니다.
      Azure Sentinel 인시던트 설명 및 SIR 작업 메모 동기화 Azure Sentinel 인시던트 설명으로 SIR 작업 메모 업데이트 작업 메모의 설명을 Microsoft Azure Sentinel 업데이트하기 위해 선택할 수 있는 옵션입니다 SIR . 작업 메모의 SIR 설명은 'Sentinel의 의견'이라는 프리픽스와 함께 나타납니다. 이 코멘트에는 Sentinel ID, 분석가 상세 정보 및 타임스탬프도 포함됩니다.
      SIR 작업 메모로 Azure Sentinel 인시던트 설명 업데이트 인시던트 설명에서 Microsoft Azure Sentinel 작업 메모를 업데이트 SIR 하기 위해 선택할 수 있는 옵션입니다. 의 주석은 Microsoft Azure SentinelServiceNow의 의견 프리픽스와 함께 나타납니다.

      다음 예는 인시던트 업데이트를 자동화하는 데 사용할 수 있는 구성 옵션을 보여줍니다.

      인시던트 자동화를 위한 옵션입니다.
    3. 마침을 클릭합니다.

    다음에 수행할 작업

    프로파일이 대기 중 상태로 전환됩니다. 설정 및 구성이 완료되었다는 확인 메시지가 표시되면 프로파일을 활성화할 수 있습니다.