Automatiser les mises à jour et la fermeture des alertes en fonction de l’état de l’incident SIR

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • L’intégration API de sécurité Microsoft Graph d’ingestion d’alertes dispose d’une interface bidirectionnelle qui permet aux deux alertes de créer des incidents de sécurité, ainsi qu’une mise à jour des alertes une fois l’incident de sécurité créé et/ou fermé avec les détails pertinents de l’incident tels que le numéro d’incident, le SIR groupe d’affectation, SIR l’URL de l’incident, etc. T

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :
    Les états d’alerte initiale et de fermeture ne sont mis à jour que si cette fonctionnalité est prise en charge par le fournisseur de service. Pour en savoir plus, consultez la documentation et la API de sécurité Microsoft Graph documentation du fournisseur de sécurité.

    Procédure

    1. Si la page Options supplémentaires de la barre de progression ne s’affiche pas, sélectionnez Options supplémentaires.
    2. Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des alertes lors de la création de l’incident de sécurité.
      Option ou champDescription
      Mettre à jour les alertes lors de la création de l’incident SIR Sélectionnez cette option si vous souhaitez mettre à jour le statut de l’alerte et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’alerte. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées.
      Mise à jour de l’état de l’alerte initiale Sélectionnez un état d’alerte initial dans la liste. Cet état est défini pour toutes les alertes lorsqu’un incident de sécurité est créé pour une alerte ingérée. Cela inclut les alertes qui créent de nouveaux incidents et les alertes qui sont ingérées et agrégées à un incident ouvert existant.
      Remarque :
      En fonction de l’état d’alerte sélectionné ici, l’état d’alerte utilisé par les fournisseurs de sécurité est mis à jour en conséquence.
      Commentaires initiaux renvoyés à l’alerte En fonction de l’étape que vous avez sélectionnée, les commentaires par défaut s’affichent. Vous pouvez modifier le texte par défaut et utiliser le format ${nom de champ}$ pour ajouter ou modifier les champs disponibles dans le formulaire d’incident de sécurité.
      Fermer les alertes lors de la fermeture de l’incident SIR Sélectionnez cette option si vous souhaitez utiliser l’option de fermeture automatique des alertes. Cela peut se produire à la fois pour les alertes de déclenchement initiales qui créent l’incident de sécurité et pour les alertes agrégées. L’état de l’alerte est mis à jour dans le fournisseur de sécurité avec les commentaires d’état et de fermeture après SIR la fermeture de l’incident dans le ServiceNow AI Platform.
      Mise à jour de l’état de l’alerte de fermeture Sélectionnez un état d’alerte dans la liste. Sélectionnez la valeur d’état à définir pour toutes les alertes lorsqu’un incident de sécurité est fermé pour une alerte ingérée.
      Commentaires de fermeture renvoyés à l’alerte Les commentaires de fermeture par défaut sont affichés ici. Vous pouvez modifier le texte par défaut et utiliser le format ${nom de champ}$ pour ajouter ou modifier tous les champs disponibles dans le formulaire d’incident de sécurité.
    3. Cliquez sur Terminer pour terminer la configuration et faire passer le profil à l’état En attente .
      Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des alertes du Microsoft Azure locataire en fonction de votre planification. Un maximum de 1 000 incidents de sécurité peut être créé dans un délai de 24 heures.