Automatisieren Sie die Incident-Updates und -Abschlüsse durch SIRIncident-Status
Automatisieren Sie die Incident-Updates und -Abschlüsse durch SIRIncident-Status. Die Microsoft Azure SentinelDie Integration verfügt über eine bidirektionale Schnittstelle, mit der beide Incidents Security Incidents erstellen und die Incidents aktualisieren können, nachdem der Security Incident erstellt oder geschlossen wurde.
Vorbereitungen
Erforderliche Rolle: sn_si.admin
Prozedur
-
Tragen Sie die Details in das Formular ein.
Befolgen Sie die Anweisungen, um die Konfiguration zum Aktualisieren von Incidents abzuschließen, wenn Sie einen Security Incident in erstellen oder schließen SIR.
Tabelle : 1. Formular „Incident-Aktualisierungen werden automatisiert“ Kategorie Feld Beschreibung Aktualisierungen der Incident-Erstellung Aktualisieren Sie den Status von Azure Sentinel Incidents bei der Erstellung von SIR Incidents Option, mit der Sie die automatisierte Incident-Update-Funktionalität verwenden können. Die Microsoft Azure SentinelIncident-Status wird in aktualisiert Microsoft AzureIncident mit den Kommentaren nach SIRIncident wird in erstellt Now Platform. Anfangsstatusaktualisierung für Incident Anfänglicher Incident-Status, der in aktualisiert wird Microsoft Azure SentinelUmgebung. Sie können auswählen Neu Oder Aktiv Als Status. Anfangskommentare, die an den Incident zurückgesendet werden Anfängliche Kommentare, die für den Incident in veröffentlicht werden Microsoft Azure SentinelUmgebung. Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${Feldname}$ für ein beliebiges Feld auf hinzufügen oder ändern SIRIncident-Formular.
Updates zum Incident-Abschluss Schließen Sie Azure Sentinel-Incidents nach Abschluss DES SIR-Incidents Option, mit der Sie die automatisierte Funktion zur Statusaktualisierung für Incidents verwenden können. Microsoft Azure SentinelIncidents werden in geschlossen Microsoft AzureIncident mit den Kommentaren, die nach eingegeben wurden SIRIncident wird in geschlossen Now Platform. Statusaktualisierung für Abschluss-Incident Statusaktualisierung in Microsoft Azure SentinelIncident, wenn der Incident in geschlossen wird SIR. Abschlusskommentare, die an den Incident zurückgesendet wurden Kommentare, die für den Incident in veröffentlicht werden Microsoft Azure SentinelIncident, wenn der Incident in geschlossen wird SIR. Bearbeiten Sie den Standardtext, der im Abschnitt „Kommentare“ angezeigt wird, indem Sie die Ersetzungsvariablen im Format ${Feldname}$ für ein beliebiges Feld auf hinzufügen oder ändern SIRIncident-Formular.
Incident-Klassifizierung und Abschlussgrund Methode für die Incident-Klassifizierung und den Abschlussgrund, die zum Schließen des Incidents in verwendet wird Microsoft Azure SentinelUmgebung. Wählen Sie aus Standardmäßige Incident-Klassifizierung und Abschlussgrund Methode zum Schließen des Incidents in Microsoft Azure SentinelUmgebung. Wenn Sie diese Methode auswählen, müssen Sie definieren Standardmäßige Incident-Klassifizierung und Abschlussgrund . Wenn Sie einen Incident in SIR schließen, wird der Incident-Status in Azure Sentinel auch mit dem angegebenen geschlossen Standardmäßige Incident-Klassifizierung und Abschlussgrund .
Wählen Sie aus Incident-Klassifizierung und Abschlussgrund – SIR-Abschlusscode-Zuordnung Methode zum Schließen der Incidents und zum Zuordnen der Klassifizierungsgründe zu SIRAbschlusscodes. Sie können mehrere zuordnen SIRSchließen Sie Codes für einen einzelnen Klassifizierungsgrund. Nachdem Sie einen Incident in geschlossen haben SIRMithilfe des Abschlusscodes wird der Incident-Status in Azure Sentinel auch mit der zugeordneten Incident-Klassifizierung und dem Abschlussgrund geschlossen.
Wenn der Klassifizierungsgrund und SIRAbschlusscodes werden nicht zugeordnet, oder es wurde keine Übereinstimmung gefunden. Dann wird der Incident mit dem Standardklassifizierungsgrund „Unbestimmt“ in geschlossen Microsoft Azure SentinelUmgebung.
Synchronisierung von Azure Sentinel-Incident-Kommentaren und SIR-Arbeitsnotizen SIR-Arbeitsnotizen mit Azure Sentinel-Incident-Kommentaren aktualisieren Option, die Sie auswählen können, um zu aktualisieren Microsoft Azure SentinelKommentare in SIRArbeitsnotizen. Der Kommentar in SIRArbeitsnotizen werden mit dem Präfix angezeigt Kommentar von Sentinel . Der Kommentar enthält auch die Sentinel-ID, Analystendetails und den Zeitstempel. Azure Sentinel-Incident-Kommentare mit SIR-Arbeitsnotizen aktualisieren Option, die Sie auswählen können, um zu aktualisieren SIRArbeitsnotizen in Microsoft Azure SentinelIncident-Kommentare. Der Kommentar in Microsoft Azure SentinelWird mit dem Präfix angezeigt Kommentar aus ServiceNow . Das folgende Beispiel zeigt die Konfigurationsoptionen, die für die Automatisierung von Incident-Updates verfügbar sind.
- Klicken Sie Auf Beenden .