인시던트 상태별로 SIR 인시던트 업데이트 및 종결 자동화
인시던트 상태별로 인시던트 업데이트 및 종결을 SIR 자동화합니다. 통합에는 Microsoft Azure Sentinel 양방향 인터페이스가 있어 두 인시던트에서 모두 보안 인시던트를 만들고 보안 인시던트가 생성되거나 종결된 후 인시던트를 업데이트할 수 있습니다.
시작하기 전에
필요한 역할: sn_si.admin
프로시저
-
양식에 세부 정보를 입력합니다.
지침에 따라 에서 보안 인시던트를 SIR만들거나 닫을 때 인시던트를 업데이트하기 위한 구성을 완료합니다.
표 1. 인시던트 업데이트 자동화 양식 범주 필드 설명 인시던트 작성 업데이트 SIR 인시던트 작성 시 Azure Sentinel 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용할 수 있게 하는 옵션입니다. Microsoft Azure Sentinel 인시던트 상태는 에서 인시던트가 생성된 후 SIR 설명과 함께 인시던트에서 Now Platform업데이트 Microsoft Azure 됩니다. 초기 인시던트 상태 업데이트 환경에서 업데이트된 Microsoft Azure Sentinel 초기 인시던트 상태입니다. 상태로 새로 만들기 또는 활성 을 선택할 수 있습니다. 인시던트에 다시 게시된 초기 설명 환경에서 인시던트 Microsoft Azure Sentinel 에 게시되는 초기 코멘트입니다. 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
인시던트 종결 업데이트 SIR 인시던트 종결 시 Azure Sentinel 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용할 수 있게 하는 옵션입니다. Microsoft Azure Sentinel 인시던트가 종결Now Platform된 후 SIR 제공된 설명과 함께 인시던트가 인시던트에서 Microsoft Azure 종결됩니다. 종결 인시던트 상태 업데이트 에서 인시던트가 종결될 경우 인시던트의 상태 업데이트 Microsoft Azure Sentinel 입니다 SIR. 인시던트에 다시 게시된 종결 설명 에서 인시던트가 종결SIR될 때 인시던트의 인시던트 Microsoft Azure Sentinel 에 게시된 코멘트입니다. 인시던트 양식의 필드에 ${field name}$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 설명 섹션에 표시되는 기본 텍스트를 편집합니다 SIR .
인시던트 분류 및 종결 사유 환경에서 인시던트를 Microsoft Azure Sentinel 종료하는 데 사용되는 인시던트 분류 및 종결 이유 방법입니다. 환경에서 인시던트를 Microsoft Azure Sentinel 종료하려면 기본 인시던트 분류 및 종결 사유 메서드를 선택합니다. 이 방법을 선택하는 경우 기본 인시던트 분류 및 종결 사유를 정의해야 합니다. SIR에서 인시던트를 종료하면 Azure Sentinel의 인시던트 상태도 지정된 기본 인시던트 분류 및 종결 사유로 종결됩니다.
인시던트 분류 및 종결 이유-SIR 종결 코드 매핑 방법을 선택하여 인시던트를 종결하고 분류 이유를 종결 코드와 SIR 매핑합니다. 여러 SIR 종결 코드를 단일 분류 이유에 매핑할 수 있습니다. 종결 코드를 사용하여 인시던트를 SIR 종결하면 Azure Sentinel의 인시던트 상태도 매핑된 인시던트 분류 및 종결 사유와 함께 종결됩니다.
분류 이유와 SIR 종결 코드가 매핑되지 않았거나 일치하는 항목을 찾을 수 없으면 환경에서 기본 분류 이유를 '미확인' Microsoft Azure Sentinel 으로 사용하여 인시던트가 종결됩니다.
Azure Sentinel 인시던트 설명 및 SIR 작업 메모 동기화 Azure Sentinel 인시던트 설명으로 SIR 작업 메모 업데이트 작업 메모의 주석을 업데이트 Microsoft Azure Sentinel 하기 위해 선택할 수 있는 옵션입니다 SIR . 작업 메모의 SIR 설명은 접두사 Comment from Sentinel과 함께 나타납니다. 설명에는 Sentinel ID, 분석가 세부 정보 및 타임스탬프도 포함되어 있습니다. SIR 작업 메모로 Azure Sentinel 인시던트 설명 업데이트 인시던트 설명에서 작업 메모를 업데이트 SIR 하기 위해 선택할 수 있는 옵션입니다 Microsoft Azure Sentinel . 코멘트 인이 Microsoft Azure SentinelServiceNow의 코멘트 프리픽스와 함께 나타납니다. 다음 예는 인시던트 업데이트를 자동화하는 데 사용할 수 있는 구성 옵션을 보여줍니다.