Microsoft Azure Sentinel – Incident Ingestion Integration für Security Operations Versionshinweise

  • Freigeben Version: Store
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Versionsverlauf für die Microsoft Azure Sentinel – Incident Ingestion Integration für Security Operations auf dem ServiceNow Store.

    Wichtig:
    Weitere Informationen zu Systemanforderungen und Familienkompatibilität finden Sie in der Anwendungsliste auf der Website des ServiceNow Store.

    Versionsverlauf

    Version 11.0.22 – Februar 2025
    • Behoben:
      • „Techniken“ fehlt in der Azure Sentinel-Nutzlast
      • Unterstützt nur einen einzelnen Warnungslink in den SIR-Arbeitsnotizen und das Abrufen zusätzlicher Kommas für mehrere Warnungen für die Azure Sentinel-Integration.
    Version 11.0.21 – September 2024
    • Behoben:
      • Im Falle eines nicht terminierten Literals in der Antwort von Sentinel wird die Erstellung von Warnungen und Entitäten verarbeitet.
      • Synchronisierungsproblem zwischen SIR und Microsoft Sentinel aufgrund eines internen Serverfehlers 500.
    Version 11.0.20 – Mai 2024
    • Geändert: Die neue UI-Abhängigkeit wird entfernt.
    • Behoben: Bei der CMDB-CI-Übersetzung ist die Option „Null kann nicht in ein Objekt konvertiert werden“ während der Feldübersetzung behoben.
    Version 11.0.17 – Februar 2024
    • Neu:
      • Einführung einer Systemeigenschaft zur Steuerung des Trennzeichens für die Zuordnung durch die Anwender.
      • Es wurde eine Systemeigenschaft eingeführt, die Aktualisierungen während der gesamten Zeit abfragt und nicht von der überschreibenden Kennzeichnung im Zuordnungsabschnitt abhängt.
    • Behoben:
      • Bei der Zusammenfassung für zwei Felder wurde nur eines der Felder und nicht beide berücksichtigt. Es wurde dasselbe korrigiert.
      • Die Integration hat keinen Flow für Abschlussaktualisierungen für einen Incident ausgelöst, der innerhalb von Millisekunden geschlossen wurde.
    Version 11.0.16 – Dezember 2023
    Behoben: Einige Validierungen der Felder für eine Konfigurationskachel wurden fehlerhaft. Dies ist jetzt behoben.
    Version 11.0.15 – November 2023
    • Neu:
      • Unterstützt überschreibbare Felder im Abschnitt „Profilfeldzuordnung“. Wenn das Kontrollkästchen für ein bestimmtes Feld aktiviert ist, werden alle neuen oder aktualisierten Informationen aus Azure Sentinel-Incidents automatisch mit dem entsprechenden Feld in den SIR-Incident-Daten synchronisiert. Die betroffenen Anwender, erkennbaren Elemente und CIs sind im Profilabschnitt standardmäßig aktiviert. Alle während des Abfrageintervalls erkannten neuen erkennbaren Elemente, CIs oder betroffenen Anwender werden an die entsprechenden zugehörigen Listen angehängt. Für alle anderen aktivierten Felder werden je nach Zuordnung die vorhandenen Daten mit den neuesten Daten überschrieben, und Änderungen werden als Feldänderungen in den Arbeitsnotizen erfasst.
      • Sie können jetzt automatisch neue Warnungen und Entitäten verarbeiten, die Azure Sentinel-Incidents hinzugefügt wurden (sofern für eines der Felder im Abschnitt „Profilzuordnung“ die Überschreibungskennzeichnung aktiviert ist).
      • Abruf historischer Incidents: Zum einmaligen Abrufen vergangener Incidents von Microsoft Azure.
    Version 11.0.9 – August 2023
    Behoben:
    • Bei der bidirektionalen Synchronisierung von aggregierten Incidents sollte auch angegeben werden, welcher aggregierte Incident aktualisiert wird.
    • Verzögerung bei der Synchronisierung von Kommentaren mit ServiceNow oder fehlende Sentinel-Kommentare/-Updates in ServiceNow werden behoben.
    • Automatisierungsaktivität wird anstelle von Arbeitsnotizen für die Kommentarsynchronisierung im Abschnitt „Arbeitsnotizen“ des SIR-Formulars veröffentlicht.
    • Der Synchronisierungs-Flow für Kommentare und Arbeitsnotizen tritt ab, wenn eine große Anzahl von Security Incidents geöffnet oder behoben wird.
    • Synchronisieren Sie die anfänglichen Azure Sentinel-Incident-Kommentare während der Erstellung von Incidents mit SIR-Arbeitsnotizen.
    Version 11.0.8 – Februar 2023
    • Behoben:
      • Feld „cmdb_ci“ entfernt, das während der Transformation zweimal aktualisiert wurde.
      • Verfügbarkeit aller Spaltenoptionen in der Dropdownliste des Filterbedingungsgenerators/
      • Azure Sentinel-Eigenschaften (labels(labelName)) und labelTypes-Spalten sind sofort einsatzbereit und nicht dynamisch.
    Version 11.0.7 – November 2022
    • Behoben:
      • Endpunkt, Quelle und Basis-URL sind konfigurierbar, da die hartcodierten URLs in der GCC-Umgebung fehlgeschlagen sind.
      • Die Incident-API-Version ist ähnlich wie die Versionen der Warnungs-API und der Entitäts-API konfigurierbar.
    Version 11.0.6 – September 2022
    • Behoben:
      • Verbessert die Protokollierung für die Integration.
      • Performance-Korrektur.
    Version 11.0.5 – Juni 2022
    Korrigiert: Inaktive Abschlusscodes werden im Abschnitt „Zusätzliche Optionen“ in „Abschlusscode – Zuordnung der Klassifizierungsursache“ angezeigt.
    Version 11.0.4 – März 2022
    • Behoben:
      • Profil geht aufgrund der Ablehnung der Verbindung von Microsoft in einen Fehlerstatus über (die intermittierend ist und in aufeinanderfolgenden Anrufen gelöst wird). Er wird nicht für die Erfassung berücksichtigt und daher durch Abfragen der Fehlerstatusprofile behoben.
      • Korrigierte Sentinel-Incident-Zuweisung und -Bezeichnungen, die beim Aktualisieren des Sentinel-Status von ServiceNow zurückgesetzt wurden.
      • Die Daten aller Entitäten eines incident, der bei der Erfassung oder dem Abrufen von Beispieldaten nicht gelöst wird, wurden korrigiert.
      • Die Registerkarten wurden behoben, die beim Klicken auf die Schaltfläche „Speichern“ auf der Seite „Zusätzliche Optionen“ deaktiviert wurden.
      • Die Verwendung nicht deklarierter Variablen in der Sentinel-Integration wird entfernt.
      • Kommentare mit den Escape-Zeichen „/“ und „““ werden jetzt in Sentinel unterstützt.
      • Die Azure Sentinel-Kommentare mit Rich-Text wurden korrigiert, die in SNOW-Incidents nicht gerendert wurden.
      • Der Subflow zur Aktualisierung des festen Anfangsstatus schlägt aufgrund der ACL in der Tabelle „sn_sec_sentinel_incident_to_task“ in Domain Separation fehl.
    Version 11.0.3  – Dezember 2021
    Behoben: UI-Changes.
    Version 11.0.1 – Oktober 2021
    • Behoben:
      • Zusätzliche passwortbezogene Richtlinien hinzugefügt
      • Das Problem der Kommentarsynchronisierung wurde behoben
      • Zugeordnete Arbeitsnotizen, die als neue Arbeitsnotiz für jeden aggregierten Incident hinzugefügt werden, werden korrigiert
    Version 11.0.0 – Juni 2021
    Neu: Diese Integration umfasst die folgenden Schlüsselfunktionen: Erkennen Sie Microsoft Azure Sentinel-Incidents, die Kandidaten für Security Incidents sind, und automatisieren Sie die Erstellung von Security Incidents. Zuordnung der Incident- und Entitätsfelder von Microsoft Azure Sentinel zu SIR-Security Incident-Feldern. Filterung von Microsoft Azure Sentinel-Incidents Zusammenfassung ähnlicher Incidents zu vorhandenen offenen Security Incidents, damit Sie keine doppelten Security Incidents erstellen müssen Automatische Statusaktualisierung von Microsoft Azure Sentinel-Incidents für die Erstellung und den Abschluss von SIR-Security Incidents. Geplante Erfassung von Incidents, die regelmäßig Security Incidents erstellen. Synchronisierung von Microsoft Azure Sentinel-Incident-Kommentaren mit SIR-Arbeitsnotizen