Automatisieren Sie die Incident-Updates und -Abschlüsse durch SIR Incident-Status

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Automatisieren Sie die Incident-Updates und -Abschlüsse durch SIR Incident-Status. Die Microsoft Azure Sentinel Die Integration verfügt über eine bidirektionale Schnittstelle, die es beiden Incidents ermöglicht, Security Incidents zu erstellen und die Incidents zu aktualisieren, nachdem der Security Incident erstellt oder geschlossen wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_si.ingestion_profile_admin

    Hinweis:
    Benutzer mit der Rolle „sn_si.admin“ können alle Vorgänge ausführen, die einem Profiladministrator zur Verfügung stehen, da die Rolle „sn_si.admin“ standardmäßig die erforderlichen Berechtigungen erbt.

    Prozedur

    1. Tragen Sie die Details in das Formular ein.
      Befolgen Sie die Anweisungen, um die Konfiguration zum Aktualisieren von Incidents abzuschließen, wenn Sie einen Security Incident in erstellen oder schließen SIR.
      Tabelle : 1. Formular „Automatisieren von Incident-Updates“
      Kategorie Feld Beschreibung
      Aktualisierungen der Incident-Erstellung Aktualisieren Sie den Status von Azure Sentinel-Incidents bei der SIR-Incident-Erstellung Option, mit der Sie die automatisierte Incident-Update-Funktionalität verwenden können. Die Microsoft Azure Sentinel Incident-Status wird in aktualisiert Microsoft Azure Incident mit den Kommentaren nach SIR Incident wird in erstellt ServiceNow AI Platform.
      Anfangsstatusaktualisierung für Incident Anfänglicher Incident-Status, der in aktualisiert wird Microsoft Azure Sentinel Umgebung. Sie können auswählen Neu Oder Aktiv Als Status.
      Anfangskommentare, die an den Incident zurückgesendet werden Erste Kommentare, die in dem Incident veröffentlicht werden Microsoft Azure Sentinel Umgebung.

      Bearbeiten Sie den Standardtext, der im Kommentarabschnitt angezeigt wird, indem Sie die Ersetzungsvariablen⁠im Format $ {field Name}$ für ein beliebiges Feld in hinzufügen oder ändern SIR Incident-Formular.
      Updates zum Incident-Abschluss Schließen Sie Azure Sentinel-Incidents nach SIR-Incident-Abschluss Option, mit der Sie die automatisierte Funktionalität zur Statusaktualisierung von Incidents verwenden können. Microsoft Azure Sentinel Incidents werden in geschlossen Microsoft Azure Incident mit den Kommentaren nach SIR Incident wird in geschlossen ServiceNow AI Platform.
      Statusaktualisierung für Abschluss-Incident Statusaktualisierung in Microsoft Azure Sentinel Incident, wenn der Incident in geschlossen wird SIR.
      Abschlusskommentare, die an den Incident zurückgesendet wurden Kommentare, die in dem Incident veröffentlicht werden Microsoft Azure Sentinel Incident, wenn der Incident in geschlossen wird SIR.

      Bearbeiten Sie den Standardtext, der im Kommentarabschnitt angezeigt wird, indem Sie die Ersetzungsvariablen⁠im Format $ {field Name}$ für ein beliebiges Feld in hinzufügen oder ändern SIR Incident-Formular.
      Incident-Klassifizierung und Abschlussgrund Methode für die Incident-Klassifizierung und den Abschlussgrund, die zum Schließen des Incident in verwendet wird Microsoft Azure Sentinel Umgebung.

      Wählen Sie aus Standardmäßige Incident-Klassifizierung und Abschlussgrund Methode zum Schließen des Incident in Microsoft Azure Sentinel Umgebung. Wenn Sie diese Methode auswählen, müssen Sie definieren Standardmäßige Incident-Klassifizierung und Abschlussgrund . Wenn Sie einen Incident in SIR schließen, wird der Incident-Status in Azure Sentinel auch mit dem angegebenen geschlossen Standardmäßige Incident-Klassifizierung und Abschlussgrund .

      Wählen Sie aus Incident-Klassifizierung und Abschlussgrund – SIR-Abschlusscodezuordnung Methode zum Schließen der Incidents und zum Zuordnen der Klassifizierungsgründe zu SIR Abschlusscodes. Sie können mehrere zuordnen SIR Schließen Sie Codes für einen einzelnen Klassifizierungsgrund. Nachdem Sie einen Incident in geschlossen haben SIR Mit dem Abschlusscode wird der Incident-Status in Azure Sentinel auch mit der zugeordneten Incident-Klassifizierung und dem Abschlussgrund geschlossen.

      Wenn der Klassifizierungsgrund und SIR Abschlusscodes werden nicht zugeordnet, oder es wurde keine Übereinstimmung gefunden. Dann wird der Incident mit dem Standardklassifizierungsgrund „Unbestimmt“ in geschlossen Microsoft Azure Sentinel Umgebung.
      Synchronisierung von Azure Sentinel-Incident-Kommentaren und SIR-Arbeitsnotizen SIR-Arbeitsnotizen mit Azure Sentinel-Incident-Kommentaren aktualisieren Option, die Sie auswählen können, um Ihren zu aktualisieren Microsoft Azure Sentinel Kommentare in SIR Arbeitsnotizen. Der Kommentar in SIR Arbeitsnotizen werden mit dem Präfix angezeigt Kommentar von Sentinel . Der Kommentar enthält auch die Sentinel-ID, Analystendetails und den Zeitstempel.
      Azure Sentinel-Incident-Kommentare mit SIR-Arbeitsnotizen aktualisieren Option, die Sie auswählen können, um Ihren zu aktualisieren SIR Arbeitsnotizen in Microsoft Azure Sentinel Incident-Kommentare. Der Kommentar in Microsoft Azure Sentinel Wird mit dem Präfix angezeigt Kommentar von ServiceNow .

      Das folgende Beispiel zeigt die Konfigurationsoptionen, die für die Automatisierung von Incident-Updates verfügbar sind.

      Optionen zum Automatisieren von Incidents.
    2. Klicken Sie auf Fertigstellen.

    Nächste Maßnahme

    Das Profil wechselt in den Status „Warten“. Wenn die Bestätigungsnachricht anzeigt, dass das Setup und die Konfiguration abgeschlossen sind, können Sie das Profil aktivieren.