検出の更新とクローズを自動化

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:3分

    • セキュリティインシデントレスポンスインシデントのステータスに基づいて、検出の更新とクローズを自動化します。CrowdStrike Next-Gen SIEM統合により、検出ではセキュリティインシデントを作成し、作成またはクローズされた後にインシデントを更新することもできます。

    始める前に

    必要なロール:sn_si.ingestion_profile_admin

    注:
    sn_si.admin ロールはデフォルトで必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミンが利用できるすべての操作を実行できます。

    手順

    1. スケジューリングプロセスの前のセクションから続行しない場合は、定義しているプロファイルにアクセスします。
      1. 移動先 すべて > CrowdStrike Next-Gen SIEM > 検出プロファイル.
      2. 定義を続行するプロファイルを選択します。
      3. 進捗状況バーの [その他のオプション ] を選択します。
    2. フォームで、フィールドに入力します。
      表 : 1. 検出の更新の自動化フォーム
      カテゴリ フィールド 説明
      セキュリティインシデント作成の更新 SIR インシデントの作成時に CrowdStrike 次世代検出ステータスを更新 自動検出更新機能を使用するオプション。CrowdStrike Next-Gen SIEM検出ステータスは、SIRインシデントがServiceNow AI Platformで作成された後に、CrowdStrike Next-Gen SIEM検出でコメント付きで更新されます。
      初期検出ステータスの更新 CrowdStrike Next-Gen SIEM環境で更新される初期検出ステータス (新規または処理中)。
      最初のコメントが検出に返信されました CrowdStrike Next-Gen SIEM環境で検出に投稿される最初のコメント。
      検出クローズの更新 SIR インシデントのクローズ時に CrowdStrike 次世代検出をクローズする 自動検出ステータス更新機能を使用するオプション。CrowdStrike Next-Gen SIEM検出は、SIRインシデントがServiceNow AI Platformでクローズされた後に指定されたコメントとともに、CrowdStrike Next-Gen SIEMポータルでクローズされます。
      クローズ検出ステータスの更新 セキュリティインシデントが SIR でクローズされると、CrowdStrike Next-Gen SIEM検出でステータスが更新されます。
      クローズコメントが検出に返信されました セキュリティインシデントが SIR でクローズされたときに、CrowdStrike Next-Gen SIEM検出の検出に投稿されたコメント。
      クローズされた検出のプル クローズされた検出のプル 進行中の取り込み中および 1 回限りの取得中にクローズされた検出をフェッチするオプション。クローズ済みの SIR インシデントは、次のものからの新しいデータで更新されません。 CrowdStrike Next-Gen SIEM
      検出コメントと SIR 作業メモの同期 CrowdStrike 次世代検出コメントで SIR 自動化アクティビティを更新 SIR自動化アクティビティのCrowdStrike Next-Gen SIEMコメントを更新するオプション。SIR自動化アクティビティのコメントに「CrowdStrike からのコメント」というプリフィックスが付きます。
      SIR 作業メモで CrowdStrike Next-Gen SIEM 検出コメントを更新 CrowdStrike Next-Gen SIEM検出コメントのSIR作業メモを更新するオプション。CrowdStrike Next-Gen SIEM のコメントは、「Comment from ServiceNow」というプリフィックス付きで表示されます。
    3. [完了] を選択します。
    4. プロファイルをアクティブ化します。
      1. 進捗状況バーの [名前 ] セクションを選択します。
      2. [Active (有効)] チェックボックスをオンにします。
      3. [Continue (続行)] を選択します。