Microsoft Graph 보안 API 경보 수집 통합에는 두 경보가 보안 인시던트를 생성할 수 있는 양방향 인터페이스가 있으며, 보안 인시던트가 생성되거나 종결되면 인시던트 번호, 할당 그룹, SIR 인시던트 URL 등의 관련 인시던트 상세 정보로 SIR 경보를 업데이트할 수 있는 기능이 있습니다. T
시작하기 전에
필요한 역할: sn_si.admin주: 초기 및 종결 경보 상태는 서비스 제공자가 이 기능을 지원하는 경우에만 업데이트됩니다. 자세한 내용은 설명서 및 보안 공급자 설명서를 참조하십시오 Microsoft Graph 보안 API .
프로시저
-
진행률 표시줄에 추가 옵션 페이지가 표시되지 않으면 추가 옵션을 선택합니다.
-
아래 지침에 따라 보안 인시던트가 생성될 때 경보를 업데이트하기 위한 구성을 완료합니다.
| 옵션 또는 필드 | 설명 |
|---|
| SIR 인시던트 작성 시 경보 업데이트 |
경보 상태를 업데이트하고 경보에서 보안 인시던트가 생성될 때 추가 코멘트를 추가하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 경보와 집계된 경보 모두에 대해 발생할 수 있습니다. |
| 초기 경보 상태 업데이트 |
목록에서 초기 경보 상태를 선택합니다. 수집된 경보에 대해 보안 인시던트가 생성될 때 모든 경보에 대해 이 상태가 설정됩니다. 여기에는 새 인시던트를 생성하는 경보와 수집되어 기존 미결 인시던트로 집계되는 경보가 포함됩니다.주: 여기에서 선택한 경고 상태에 따라 보안 공급자가 사용하는 경고 상태가 그에 따라 업데이트됩니다.
|
| 경보에 다시 게시된 초기 설명 |
선택한 단계에 따라 기본 설명이 표시됩니다. 기본 텍스트를 수정하고 ${필드 이름}$ 형식을 사용하여 보안 인시던트 양식에서 사용할 수 있는 필드를 추가하거나 수정할 수 있습니다. |
| SIR 인시던트 종결 시 경보 종결 |
자동 경보 종결 옵션을 사용하려면 이 옵션을 선택합니다. 이는 보안 인시던트를 생성하는 초기 트리거 경보와 집계된 경보 모두에 대해 발생할 수 있습니다. 에서 인시던트가 종결ServiceNow AI Platform된 후 SIR 상태 및 종결 설명으로 보안 공급자에 경보 상태가 업데이트됩니다. |
| 종결 경보 상태 업데이트 |
목록에서 경보 상태를 선택합니다. 수집된 경보에 대해 보안 인시던트가 종결될 때 모든 경보에 대해 설정할 상태 값을 선택합니다. |
| 경보에 다시 게시된 종결 설명 |
기본 종결 설명이 여기에 표시됩니다. 기본 텍스트를 편집하고 ${필드 이름}$ 형식을 사용하여 보안 인시던트 양식에서 사용할 수 있는 필드를 추가하거나 수정할 수 있습니다. |
-
Finish(마침)를 클릭하여 구성을 완료하고 프로파일을 Waiting 상태로 이동합니다.
확인 대화 상자가 표시됩니다. 통합에 대한 설정 및 구성을 성공적으로 완료했습니다. 이 프로파일을 활성화하여 일정에 따라 테넌트에서 경보를 Microsoft Azure 끌어옵니다. 24시간 내에 최대 1,000개의 보안 인시던트를 생성할 수 있습니다.