Microsoft Graph 보안 API 경보 수집 통합에는 양방향 인터페이스가 있어 두 경보 모두에서 보안 인시던트를 생성할 수 있으며, 보안 인시던트가 생성 및/또는 종결되면 인시던트 번호, 할당 그룹, SIR 인시던트 URL 등의 관련 인시던트 상세 정보를 SIR 사용하여 경보를 업데이트할 수 있습니다. T
시작하기 전에
필요한 역할: sn_si.admin주: 서비스 제공자가 이 기능을 지원하는 경우에만 초기 및 종결 경보 상태가 업데이트됩니다. 자세한 내용은 설명서 및 보안 공급자 설명서를 참조하십시오 Microsoft Graph 보안 API .
프로시저
-
진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
-
아래 지침에 따라 보안 인시던트가 생성될 때 경보를 업데이트하기 위한 구성을 완료합니다.
| 옵션 또는 필드 | 설명 |
|---|
| SIR 인시던트 작성 시 경보 업데이트 |
경보에서 보안 인시던트가 생성될 때 경보 상태를 업데이트하고 주석을 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 만드는 초기 트리거 경보와 집계된 경보 모두에 대해 발생할 수 있습니다. |
| 초기 경보 상태 업데이트 |
목록에서 초기 경보 상태를 선택합니다. 이 상태는 수집된 경보에 대한 보안 인시던트가 생성될 때 모든 경보에 대해 설정됩니다. 여기에는 새 인시던트를 생성하는 경보와 기존 미해결 인시던트로 수집 및 집계되는 경보가 포함됩니다.주: 여기에서 선택한 경보 상태에 따라 보안 공급자가 사용하는 경보 상태가 그에 따라 업데이트됩니다.
|
| 경보에 다시 게시된 초기 설명 |
선택한 스테이지에 따라 기본 설명이 표시됩니다. 기본 텍스트를 수정하고 ${field name}$ 형식을 사용하여 보안 인시던트 양식에서 사용할 수 있는 필드를 추가하거나 수정할 수 있습니다. |
| SIR 인시던트 종결 시 경보 종결 |
자동 경보 종결 옵션을 사용하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 만드는 초기 트리거 경보와 집계된 경보 모두에 대해 발생할 수 있습니다. 경보 상태는 에서 인시던트가 종결Now Platform된 후 SIR 상태 및 종결 주석과 함께 보안 제공자에서 업데이트됩니다. |
| 종결 경보 상태 업데이트 |
목록에서 경보 상태를 선택합니다. 수집된 경보에 대한 보안 인시던트가 종결될 때 모든 경보에 대해 설정할 상태 값을 선택합니다. |
| 경보에 다시 게시된 종결 설명 |
기본 종결 설명이 여기에 표시됩니다. 기본 텍스트를 편집하고 ${field name}$ 형식을 사용하여 보안 인시던트 양식에서 사용할 수 있는 필드를 추가하거나 수정할 수 있습니다. |
-
Finish(마침)를 클릭하여 구성을 완료하고 프로필을 Waiting(대기 중) 상태로 이동합니다.
확인 대화 상자가 표시됩니다. 통합을 위한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 테넌트에서 Microsoft Azure 경보를 끌어옵니다. 24시간 내에 최대 1,000개의 보안 인시던트를 만들 수 있습니다.