인시던트 업데이트 및 종결 자동화
인시던트 상태에 따라 인시던트 업데이트 및 종결을 자동화합니다. Cortex XSIAM 통합을 사용하면 인시던트가 보안 인시던트를 생성하고 인시던트가 생성되거나 종결된 후 업데이트할 수도 있습니다.
시작하기 전에
필요한 역할: sn_si.admin, sn_si.ingestion_profile_admin
프로시저
-
양식에서 필드를 채웁니다.
표 1. 인시던트 업데이트 자동화 양식 범주 필드 설명 보안 인시던트 생성 업데이트 SIR 인시던트 생성 시 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용하는 옵션입니다. Cortex XSIAM 인시던트 상태는 에서 인시던트가 생성된 후 SIR 주석으로 업데이트됩니다.ServiceNow AI Platform 초기 인시던트 상태 업데이트 Cortex XSIAM 환경에서 업데이트되는 초기 인시던트 상태(신규 또는 진행 중)입니다. 인시던트에 다시 게시된 초기 설명 Cortex XSIAM 환경에서 인시던트에 게시된 초기 설명입니다. 보안 인시던트 종결 업데이트 SIR 인시던트 종결 시 XSIAM 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용하는 옵션입니다. 인시던트는 XSIAM에서 인시던트가 종결ServiceNow AI Platform된 후 SIR 제공된 설명과 함께 종결됩니다. 종결 인시던트 상태 업데이트 SIR에서 보안 인시던트가 종결될 때 Cortex XSIAM 인시던트의 상태 업데이트입니다. XSIAM에 다시 게시된 종결 설명 에서 보안 인시던트가 종결 SIR될 때 Cortex XSIAM 인시던트의 인시던트에 게시된 설명입니다. 우선순위 매핑 우선순위 업데이트 ServiceNow 인시던트 우선순위를 XSIAM 인시던트 심각도와 동기화하는 옵션입니다. 이 옵션을 사용하면 ServiceNow에서 인시던트 우선순위를 변경하면 매핑 구성에 따라 해당 XSIAM 인시던트 심각도가 업데이트됩니다.
예를 들어 ServiceNow 우선순위 "1 - 중요"는 XSIAM 심각도 "중요"에 매핑됩니다.
종결 인시던트 끌어오기 종결 인시던트 끌어오기 진행 중인 수집 및 일회성 검색 중에 종결된 인시던트를 가져오는 옵션입니다. 종결 SIR 된 인시던트는 XSIAM의 새 데이터로 업데이트되지 않습니다. 작업 메모를 XSIAM과 동기화 SIR 작업 메모를 XSIAM과 동기화 보안 인시던트 작업 메모를 XSIAM 인시던트 설명과 동기화하는 옵션입니다. 의 ServiceNow® 보안 인시던트에 추가된 작업 메모는 해당 XSIAM 인시던트에 설명으로 나타납니다.