인시던트 업데이트 및 종결 자동화
인시던트 상태에 따라 인시던트 업데이트 및 종결을 자동화합니다. 통합에는 Microsoft Defender 인시던트가 보안 인시던트를 생성하고 보안 인시던트가 생성되거나 종결된 후 인시던트를 업데이트할 수 있는 양방향 인터페이스가 있습니다.
시작하기 전에
필요한 역할: sn_si.admin, sn_si.ingestion_profile_admin
프로시저
-
양식에서 필드를 채웁니다.
표 1. 인시던트 업데이트 자동화 양식 범주 필드 설명 인시던트 작성 업데이트 SIR 인시던트 작성 시 Defender 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용하는 옵션입니다. Defender 인시던트 상태는 인시던트가 생성된 후 SIR 댓글으로 업데이트됩니다.ServiceNow AI Platform 초기 인시던트 상태 업데이트 환경에서 업데이트되는 초기 인시던트 상태입니다.Microsoft Defender 옵션으로는 활성, 진행 중 및 리디렉션됨이 있습니다.
인시던트에 다시 게시된 초기 설명 Defender 환경에서 인시던트에 게시된 초기 설명입니다. 인시던트 종결 업데이트 SIR 인시던트 종결 시 Defender 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용하는 옵션입니다. 인시던트는 Defender에서 인시던트가 종결ServiceNow AI Platform된 후 SIR 제공된 설명과 함께 종결됩니다. 종결 인시던트 상태 업데이트 SIR에서 보안 인시던트가 종결되면 Defender의 상태 업데이트입니다. 인시던트에 다시 게시된 종결 설명 에서 보안 인시던트가 종결 SIR될 때 Defender의 인시던트에 게시되는 설명입니다. 인시던트 분류 SIR 종결 코드를 기반으로 인시던트 분류를 자동으로 업데이트 Microsoft Defender 하는 옵션입니다.
ServiceNow에서 인시던트가 종 SIR 결되면 선택한 SIR 종결 코드가 해당 Microsoft Defender 인시던트의 인시던트 분류 필드를 자동으로 결정하고 업데이트합니다.
옵션은 다음과 같습니다.- 기본 인시던트 분류입니다.
- 인시던트 분류 - SIR 종결 코드 매핑.
Defender 종결된 인시던트 불러오기 종결 인시던트 끌어오기 진행 중인 수집 및 일회성 검색 중에 종결된 인시던트를 가져오는 옵션입니다. 종결 SIR 된 인시던트는 Defender의 새 데이터로 업데이트되지 않습니다. Defender 인시던트 설명 및 SIR 작업 메모 동기화 Defender 인시던트 설명으로 SIR 작업 메모 업데이트 보안 인시던트 작업 메모를 Defender 인시던트 설명과 동기화하는 옵션입니다. 의 ServiceNow 보안 인시던트에 추가된 작업 메모가 프리픽스(Defender ID의 의견)와 함께 나타납니다.
SIR 작업 메모로 Defender 인시던트 설명 업데이트 Defender 인시던트 설명에서 SIR 작업 메모를 업데이트하는 옵션입니다. ServiceNow 의 Microsoft Defender댓글은 프리픽스인 댓글의 사람과 함께 나타납니다.