Automatizar as atualizações e fechamentos de incidentes pelo status de incidente SIR

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Automatize as atualizações e fechamentos de incidentes pelo status de incidente SIR. A integração Microsoft Azure Sentinel tem uma interface bidirecional que permite que ambos os incidentes criem incidentes de segurança e atualizem os incidentes depois que o incidente de segurança é criado ou encerrado.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. No formulário, preencha os detalhes.
      Siga as instruções para concluir a configuração de atualização de incidentes ao criar ou fechar um incidente de segurança em SIR.
      Tabela 1. Formulário de atualizações de incidentes de automação
      Categoria Campo Descrição
      Atualizações de criação de incidente Atualizar status de incidentes do Azure Sentinel após a criação do incidente SIR Opção que permite que você use a funcionalidade de atualização automatizada de incidentes. O status do incidente Microsoft Azure Sentinel é atualizado no incidente Microsoft Azure com os comentários depois que o incidente SIR é criado no Now Platform.
      Atualização de status de incidente inicial Status do incidente inicial que é atualizado no ambiente Microsoft Azure Sentinel. Você pode selecionar Novo ou Ativo como o status.
      Comentários iniciais retornados para o incidente Comentários iniciais que são publicados no incidente no ambiente Microsoft Azure Sentinel.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.
      Atualizações de fechamento de incidentes Fechar incidentes do Azure Sentinel após o fechamento do incidente SIR Opção que permite que você use a funcionalidade de atualização automatizada de status de incidente. Microsoft Azure Sentinel incidentes são encerrados no incidente Microsoft Azure com os comentários fornecidos depois que o incidente SIR é encerrado no Now Platform.
      Atualização de status de incidente de fechamento Atualização de status no incidente Microsoft Azure Sentinel quando o incidente é encerrado em SIR.
      Comentários de fechamento retornados para o incidente Comentários que são publicados no incidente no incidente Microsoft Azure Sentinel quando o incidente é encerrado em SIR.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato $⁠{field name}$ para qualquer campo no formulário de incidente SIR.
      Classificação de incidente e motivo do fechamento Método para a classificação de incidente e motivo de fechamento que é usado para fechar o incidente no ambiente Microsoft Azure Sentinel.

      Selecione a classificação de incidente padrão e o método de motivo de fechamento para fechar o incidente no ambiente Microsoft Azure Sentinel. Ao selecionar este método, você deve definir a classificação de incidente padrão e o motivo de fechamento. Quando você fecha um incidente no SIR, o status do incidente no Azure Sentinel também é fechado com a classificação de incidente padrão e o motivo de fechamentoespecificados.

      Selecione o método de mapeamento de código de fechamento SIR para classificação de incidente e motivo de fechamento para fechar os incidentes e mapear os motivos de classificação com os códigos de fechamento SIR. Você pode mapear vários códigos de fechamento SIR para um único motivo de classificação. Depois de fechar um incidente em SIR usando o código de fechamento, o status do incidente no Azure Sentinel também será fechado com a classificação de incidente mapeada e o motivo de fechamento.

      Se o motivo da classificação e os códigos de encerramento SIR não estiverem mapeados ou uma correspondência não for encontrada, o incidente será encerrado usando o motivo de classificação padrão como "Indeterminado" no ambiente Microsoft Azure Sentinel.
      Sincronização de Anotações de trabalho de SIR e comentários de incidente do Azure Sentinel Atualizar anotações de trabalho SIR com comentários de incidentes do Azure Sentinel Opção que você pode selecionar para atualizar seus comentários [ Microsoft Azure Sentinel nas anotações de trabalho SIR. O comentário nas anotações de trabalho SIR aparece com o prefixo Comentário do Sentinel. O comentário também contém o ID do Sentinel, os detalhes do analista e o carimbo de data/hora.
      Atualizar comentários de incidentes do Azure Sentinel com anotações de trabalho SIR Opção que você pode selecionar para atualizar suas SIR anotações de trabalho nos Microsoft Azure Sentinel comentários do incidente. O comentário em Microsoft Azure Sentinel aparece com o prefixo Comentário da ServiceNow.

      O exemplo a seguir mostra as opções de configuração que estão disponíveis para automatizar atualizações de incidentes.

      Opções para automatizar incidentes.
    2. Clique em Concluir.

    O que Fazer Depois

    O perfil passa para o estado Aguardando. Quando a mensagem de confirmação mostrar que a instalação e a configuração estão concluídas, você poderá ativar o perfil.