Automatizar atualizações de alerta e fechamento com base no status do incidente SIR

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A integração de ingestão de alertas API de Segurança do Microsoft Graph tem uma interface bidirecional que permite que ambos os alertas criem incidentes de segurança, bem como a capacidade de atualizar os alertas depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como SIR incidente número, grupo de atribuição, SIR URL do incidente e assim por diante. Esta seção é a parte final da configuração do perfil que fornece recursos opcionais para atualizar os alertas.

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:
    Os status de alerta inicial e de fechamento serão atualizados somente se esta funcionalidade for compatível com o provedor de serviços. Para obter detalhes, consulte a documentação API de Segurança do Microsoft Graph e a documentação do provedor de segurança.

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais.
    2. Siga as instruções abaixo para concluir a configuração de atualização de alertas quando o incidente de segurança for criado.
      Opção ou campoDescrição
      Atualizar alertas após a criação do incidente no SIR Selecione esta opção se quiser atualizar o status do alerta e adicionar comentários adicionais quando um incidente de segurança for criado a partir do alerta. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como para alertas agregados.
      Atualização de status de alerta inicial Selecione um status de alerta inicial na lista. Este status será definido para todos os alertas quando um incidente de segurança for criado para um alerta ingerido. Isso inclui alertas que criam novos incidentes e alertas que são ingeridos e agregados a um incidente em aberto existente.
      Nota:
      Com base no status de alerta selecionado aqui, o status de alerta usado pelos provedores de segurança será atualizado de forma correspondente.
      Comentários iniciais retornados para o alerta Com base na fase selecionada, os comentários padrão são exibidos. Você pode modificar o texto padrão e usar o formato ${field name}$ para adicionar ou modificar quaisquer campos disponíveis no formulário de incidente de segurança.
      Encerrar alertas após o fechamento do incidente no SIR Selecione esta opção se quiser usar a opção de fechamento de alerta automatizado. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como para alertas agregados. O status do alerta será atualizado no provedor de segurança com o status e os comentários de fechamento após o SIR incidente ser fechado no Now Platform.
      Atualização de status de alerta de fechamento Selecione um status de alerta na lista. Selecione o valor de status a ser definido para todos os alertas quando um incidente de segurança for encerrado para um alerta ingerido.
      Comentários de fechamento publicados de volta ao alerta Os comentários de fechamento padrão são exibidos aqui. Você pode editar o texto padrão e usar o formato ${field name}$ para adicionar ou modificar quaisquer campos disponíveis no formulário de incidente de segurança.
    3. Clique em Concluir para concluir a configuração e mover o perfil para o estado Aguardando.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com êxito a instalação e a configuração da integração. Ative este perfil para extrair alertas do locatário Microsoft Azure com base na sua programação. Um máximo de 1.000 incidentes de segurança podem ser criados em um período de 24 horas.