Automatisieren Sie Warnungsaktualisierungen und -Abschlüsse basierend auf dem SIR-Incident-Status

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Die Microsoft Graph-Sicherheits-API Die Integration der Warnungserfassung verfügt über eine bidirektionale Schnittstelle, mit der sowohl Warnungen Security Incidents erstellen als auch die Möglichkeit haben, die Warnungen zu aktualisieren, sobald der Security Incident erstellt und/oder mit relevanten Incident-Details geschlossen wurde, z. B. SIR Incident-Nummer, Zuweisungsgruppe, SIR Incident-URL usw. T

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin
    Hinweis:
    Der Status der anfänglichen Warnung und der Abschlusswarnung werden nur aktualisiert, wenn diese Funktionalität vom Service Provider unterstützt wird. Weitere Informationen finden Sie unter Microsoft Graph-Sicherheits-API Dokumentation und Dokumentation des Sicherheitsanbieters.

    Prozedur

    1. Wenn die Seite „zusätzliche Optionen“ im Fortschrittsbalken nicht angezeigt wird, wählen Sie aus Zusätzliche Optionen .
    2. Befolgen Sie die folgenden Anweisungen, um die Konfiguration für die Aktualisierung von Warnungen abzuschließen, wenn der Security Incident erstellt wird.
      Option oder FeldBeschreibung
      Aktualisieren Sie Warnungen bei der SIR-Incident-Erstellung Wählen Sie diese Option aus, wenn Sie den Warnungsstatus aktualisieren und zusätzliche Kommentare hinzufügen möchten, wenn aus der Warnung ein Security Incident erstellt wird. Dies kann sowohl für die anfänglichen auslösenden Warnungen, die den Security Incident erstellen, als auch für zusammengefasste Warnungen auftreten.
      Anfängliche Aktualisierung Des Warnungsstatus Wählen Sie einen anfänglichen Warnungsstatus aus der Liste aus. Dieser Status wird für alle Warnungen festgelegt, wenn ein Security Incident für eine erfasste Warnung erstellt wird. Dies umfasst Warnungen, die neue Incidents erstellen, und Warnungen, die erfasst und zu einem vorhandenen offenen Incident zusammengefasst werden.
      Hinweis:
      Basierend auf dem hier ausgewählten Warnungsstatus wird der von den Sicherheitsanbietern verwendete Warnungsstatus entsprechend aktualisiert.
      Anfängliche Kommentare, die an die Warnung zurückgesendet werden Basierend auf der ausgewählten Phase werden Standardkommentare angezeigt. Sie können den Standardtext ändern und das Format ${field Name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern.
      Schließen Sie Warnungen nach Abschluss DES SIR-Incidents Wählen Sie diese Option aus, wenn Sie die Option zum automatisierten Schließen von Warnungen verwenden möchten. Dies kann sowohl für die anfänglichen auslösenden Warnungen, die den Security Incident erstellen, als auch für zusammengefasste Warnungen auftreten. Der Warnungsstatus wird im Sicherheitsanbieter mit dem Status und den Abschlusskommentaren nach aktualisiert SIR Incident wird in geschlossen ServiceNow AI Platform.
      Aktualisierung Des Abschlusswarnungsstatus Wählen Sie einen Warnungsstatus aus der Liste aus. Wählen Sie den Statuswert aus, der für alle Warnungen festgelegt werden soll, wenn ein Security Incident für eine erfasste Warnung geschlossen wird.
      Abschlusskommentare, die zurück in die Warnung veröffentlicht wurden Die standardmäßigen Abschlusskommentare werden hier angezeigt. Sie können den Standardtext bearbeiten und das Format ${field Name}$ verwenden, um im Security Incident-Formular verfügbare Felder hinzuzufügen oder zu ändern.
    3. Klicken Sie Auf Beenden Um die Konfiguration abzuschließen und das Profil in zu verschieben Warten status.
      Ein Bestätigungsdialogfeld wird angezeigt. Sie haben das Setup und die Konfiguration für die Integration erfolgreich abgeschlossen. Aktivieren Sie dieses Profil, um Warnungen aus dem abzurufen Microsoft Azure Mandant basierend auf Ihrer Planung. Innerhalb von 24 Stunden können maximal 1000 Security Incidents erstellt werden.