인시던트 상태별로 SIR 인시던트 업데이트 및 종결 자동화

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기3분

    • 인시던트 상태에 따라 인시던트 업데이트 및 종결을 자동화합니다 SIR . 통합 Microsoft Azure Sentinel 에는 양방향 인터페이스가 있어 두 인시던트가 보안 인시던트를 생성하고 보안 인시던트가 생성되거나 종결된 후 인시던트를 업데이트할 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 양식에 상세 정보를 입력합니다.
      에서 SIR보안 인시던트를 만들거나 종결할 때 지침에 따라 인시던트를 업데이트하기 위한 구성을 완료합니다.
      표 1. 인시던트 업데이트 자동화 양식
      범주 필드 설명
      인시던트 작성 업데이트 SIR 인시던트 작성 시 Azure Sentinel 인시던트 상태 업데이트 자동화된 인시던트 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 인시던트 상태는 에서 Now Platform인시던트가 생성된 후의 SIR 설명과 함께 인시던트에서 Microsoft Azure 업데이트됩니다.
      초기 인시던트 상태 업데이트 환경에서 업데이트된 Microsoft Azure Sentinel 초기 인시던트 상태입니다. 상태로 새로 만들기 또는 활성을 선택할 수 있습니다.
      인시던트에 다시 게시된 초기 설명 환경에서 인시던트에 게시된 초기 코멘트입니다 Microsoft Azure Sentinel .

      인시던트 양식의 필드에 SIR $$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 코멘트 섹션에 표시되는 기본 텍스트를 편집합니다.
      인시던트 종결 업데이트 SIR 인시던트 종결 시 Azure Sentinel 인시던트 종결 자동화된 인시던트 상태 업데이트 기능을 사용할 수 있는 옵션입니다. Microsoft Azure Sentinel 인시던트가 에서 종결된 후 SIR 제공된 설명과 함께 인시던트에서 종결 Microsoft AzureNow Platform됩니다.
      종결 인시던트 상태 업데이트 에서 SIR인시던트가 종결될 때 인시던트의 Microsoft Azure Sentinel 상태 업데이트 .
      종결 설명 인시던트에 다시 게시됨 에서 SIR인시던트가 종결될 때 인시던트의 Microsoft Azure Sentinel 인시던트에 게시되는 코멘트입니다.

      인시던트 양식의 필드에 SIR $$ 형식을 사용하여 대체 변수를 추가하거나 수정하여 코멘트 섹션에 표시되는 기본 텍스트를 편집합니다.
      인시던트 분류 및 종결 사유 환경에서 인시던트를 종료하는 데 사용되는 인시던트 분류 및 종결 사유 Microsoft Azure Sentinel 방법입니다.

      기본 인시던트 분류 및 종결 사유 방법을 선택하여 환경에서 인시던트 Microsoft Azure Sentinel 를 종결합니다. 이 방법을 선택하는 경우 기본 인시던트 분류 및 종결 사유를 정의해야 합니다. SIR에서 인시던트를 종결하면 Azure Sentinel의 인시던트 상태도 지정된 기본 인시던트 분류 및 종결 이유와 함께 종결됩니다.

      인시던트를 종결하고 분류 사유 SIR 를 종결 코드와 매핑하려면 인시던트 분류 및 종결 사유-SIR 종결 코드 매핑 방법을 선택합니다. 여러 종 SIR 결 코드를 단일 분류 이유에 매핑할 수 있습니다. 종결 코드를 사용하여 인시던트 SIR 를 종결하면 Azure Sentinel의 인시던트 상태도 매핑된 인시던트 분류 및 종결 이유와 함께 종결됩니다.

      분류 이유와 SIR 종결 코드가 매핑되지 않았거나 일치하는 항목을 찾을 수 없으면 환경에서 기본 분류 이유를 "미확인"으로 사용하여 인시던트가 Microsoft Azure Sentinel 종결됩니다.
      Azure Sentinel 인시던트 설명 및 SIR 작업 메모 동기화 Azure Sentinel 인시던트 설명으로 SIR 작업 메모 업데이트 작업 메모의 SIR 설명을 업데이트 Microsoft Azure Sentinel 하기 위해 선택할 수 있는 옵션입니다. 작업 메모의 SIR 코멘트는 프리픽스 Sentinel의 코멘트와 함께 나타납니다. 코멘트에는 Sentinel ID, 분석가 상세 정보 및 타임 스탬프도 포함되어 있습니다.
      SIR 작업 메모로 Azure Sentinel 인시던트 설명 업데이트 인시던트 설명에서 작업 메모를 업데이트 SIR 하기 위해 선택할 수 있는 Microsoft Azure Sentinel 옵션입니다. 의 주석은 Microsoft Azure SentinelServiceNow의 의견 프리픽스와 함께 나타납니다.

      다음 예는 인시던트 업데이트를 자동화하는 데 사용할 수 있는 구성 옵션을 보여줍니다.

      인시던트 자동화를 위한 옵션입니다.
    2. 마침을 클릭합니다.

    다음에 수행할 작업

    프로파일이 대기 중 상태로 전환됩니다. 설정 및 구성이 완료되었다는 확인 메시지가 표시되면 프로파일을 활성화할 수 있습니다.