Automatizar as atualizações e fechamentos de incidentes pelo status do incidente SIR

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Automatize as atualizações e os fechamentos de incidentes pelo status do incidente SIR. A integração Microsoft Azure Sentinel tem uma interface bidirecional que permite que ambos os incidentes criem incidentes de segurança e atualizem os incidentes depois que o incidente de segurança é criado ou encerrado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. No formulário, preencha os detalhes.
      Siga as instruções para concluir a configuração para atualizar incidentes ao criar ou fechar um incidente de segurança em SIR.
      Tabela 1. Formulário Automatizando atualizações de incidente
      Categoria Campo Descrição
      Atualizações de criação de incidente Atualizar status de incidentes do Azure Sentinel após a criação do incidente no SIR Opção que permite usar a funcionalidade de atualização de incidente automatizada. O status do incidente Microsoft Azure Sentinel é atualizado no incidente Microsoft Azure com os comentários depois que o incidente SIR é criado no Now Platform.
      Atualização de status de incidente inicial Status do incidente inicial que é atualizado no ambiente Microsoft Azure Sentinel. Você pode selecionar Novo ou Ativo como o status.
      Comentários iniciais retornados para o incidente Comentários iniciais que são publicados no incidente no ambiente Microsoft Azure Sentinel.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.
      Atualizações de fechamento de incidentes Fechar incidentes do Azure Sentinel após o fechamento do incidente no SIR Opção que permite usar a funcionalidade de atualização de status de incidente automatizada. Microsoft Azure Sentinel incidentes são encerrados no incidente Microsoft Azure com os comentários fornecidos depois que o incidente SIR é encerrado no Now Platform.
      Atualização de status de incidente de fechamento Atualização de status no incidente Microsoft Azure Sentinel quando o incidente é encerrado em SIR.
      Comentários de fechamento publicados de volta para o incidente Comentários que são publicados no incidente no incidente Microsoft Azure Sentinel quando o incidente é encerrado em SIR.

      Edite o texto padrão exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.
      Classificação de incidente e motivo do fechamento Método para a classificação do incidente e o motivo do fechamento que é usado para fechar o incidente no ambiente Microsoft Azure Sentinel.

      Selecione a classificação de incidente padrão e o método de motivo de fechamento para fechar o incidente no ambiente Microsoft Azure Sentinel. Ao selecionar este método, você deve definir a classificação de incidente padrão e o motivo de fechamento. Quando você fecha um incidente no SIR, o status do incidente no Azure Sentinel também é fechado com a classificação de incidente padrão e o motivo de fechamentoespecificados.

      Selecione o método de mapeamento de código de encerramento SIR de classificação de incidente e motivo de encerramento para encerrar os incidentes e mapear os motivos de classificação com os códigos de encerramento SIR. Você pode mapear vários códigos de fechamento SIR para um único motivo de classificação. Depois de fechar um incidente em SIR usando o código de fechamento, o status do incidente no Azure Sentinel também é fechado com a classificação de incidente mapeada e o motivo de fechamento.

      Se o motivo da classificação e os códigos de encerramento SIR não estiverem mapeados ou uma correspondência não for encontrada, o incidente será encerrado usando o motivo de classificação padrão como "Indeterminado" no ambiente Microsoft Azure Sentinel.
      Sincronização de Anotações de trabalho de SIR e comentários de incidente do Azure Sentinel Atualizar anotações de trabalho SIR com comentários de incidentes do Azure Sentinel Opção que você pode selecionar para atualizar seus Microsoft Azure Sentinel comentários nas SIR anotações de trabalho. O comentário nas anotações de trabalho SIR aparece com o prefixo Comentário do Sentinel. O comentário também contém o ID do Sentinel, os detalhes do analista e o carimbo de data/hora.
      Atualizar comentários de incidentes do Azure Sentinel com anotações de trabalho SIR Opção que você pode selecionar para atualizar suas SIR anotações de trabalho nos Microsoft Azure Sentinel comentários do incidente. O comentário em Microsoft Azure Sentinel aparece com o prefixo Comentário da ServiceNow.

      O exemplo a seguir mostra as opções de configuração que estão disponíveis para automatizar as atualizações de incidentes.

      Opções para automatizar incidentes.
    2. Clique em Concluir.

    O que Fazer Depois

    O perfil passa para o estado Aguardando. Quando a mensagem de confirmação mostrar que a instalação e a configuração estão concluídas, você poderá ativar o perfil.