Automatisieren Sie Warnungsaktualisierungen und -Abschlüsse basierend auf dem SIR-Incident-Status

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Die Microsoft Graph-Sicherheits-APIDie Integration der Warnungserfassung verfügt über eine bidirektionale Schnittstelle, über die sowohl Warnungen Security Incidents erstellen als auch die Möglichkeit haben, die Warnungen zu aktualisieren, sobald der Security Incident erstellt und/oder geschlossen wurde, mit relevanten Incident-Details wie SIRIncident-Nummer, Zuweisungsgruppe, SIRIncident-URL usw. T

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:
    Der Status der anfänglichen Warnung und des Abschlusses werden nur aktualisiert, wenn diese Funktionalität vom Service Provider unterstützt wird. Weitere Informationen finden Sie unter Microsoft Graph-Sicherheits-APIDokumentation und Dokumentation des Sicherheitsanbieters.

    Prozedur

    1. Wenn die Seite „zusätzliche Optionen“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zusätzliche Optionen .
    2. Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung von Warnungen abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisieren Sie Warnungen bei der Erstellung DES SIR-Incidents Wählen Sie diese Option aus, wenn Sie den Warnungsstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn ein Security Incident aus der Warnung erstellt wird. Dies kann sowohl für die anfänglichen auslösenden Warnungen, die den Security Incident erstellen, als auch für aggregierte Warnungen auftreten.
      Anfängliche Aktualisierung Des Warnungsstatus Wählen Sie einen anfänglichen Warnungsstatus aus der Liste aus. Dieser Status wird für alle Warnungen festgelegt, wenn ein Security Incident für eine erfasste Warnung erstellt wird. Dies umfasst Warnungen, die neue Incidents erstellen, und Warnungen, die erfasst und zu einem vorhandenen offenen Incident aggregiert werden.
      Hinweis:
      Basierend auf dem hier ausgewählten Warnungsstatus wird der von den Sicherheitsanbietern verwendete Warnungsstatus entsprechend aktualisiert.
      Anfängliche Kommentare, die an die Warnung zurückgesendet werden Basierend auf der von Ihnen ausgewählten Phase werden Standardkommentare angezeigt. Sie können den Standardtext ändern und das Format ${field Name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern.
      Schließen Sie Warnungen nach Abschluss des SIR-Incidents ab Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Warnungen verwenden möchten. Dies kann sowohl für die anfänglichen auslösenden Warnungen, die den Security Incident erstellen, als auch für aggregierte Warnungen auftreten. Der Warnungsstatus wird im Sicherheitsanbieter mit dem Status und den Abschlusskommentaren nach aktualisiert SIRIncident wird in geschlossen Now Platform.
      Aktualisierung Des Abschlusswarnungsstatus Wählen Sie einen Warnungsstatus aus der Liste aus. Wählen Sie den Statuswert aus, der für alle Warnungen festgelegt werden soll, wenn ein Security Incident für eine erfasste Warnung geschlossen wird.
      Abschlusskommentare zurück in Warnung veröffentlicht Die standardmäßigen Abschlusskommentare werden hier angezeigt. Sie können den Standardtext bearbeiten und das Format ${field Name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern.
    3. Klicken Sie Auf Beenden Um die Konfiguration abzuschließen und das Profil in zu verschieben Warten status.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um Warnungen von abzurufen Microsoft AzureMandant basierend auf Ihrer Planung. Innerhalb von 24 Stunden können maximal 1000 Security Incidents erstellt werden.