Automatize as atualizações e fechamentos de incidentes pelo SIRstatus do incidente
Automatize as atualizações e fechamentos de incidentes pelo SIRstatus do incidente. . Microsoft Azure Sentinela integração tem uma interface bidirecional que permite que os incidentes criem incidentes de segurança e atualizem os incidentes após a criação ou encerramento do incidente de segurança.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
-
No formulário, preencha os detalhes.
Siga as instruções para concluir a configuração para atualizar incidentes ao criar ou fechar um incidente de segurança em SIR.
Tabela 1. Automatizando atualizações de incidentes Categoria Campo Descrição Atualizações de criação de incidente Atualize o status de incidentes Sentinel do Azure após a criação do incidente SIR Opção que permite usar a funcionalidade de atualização automatizada de incidentes. . Microsoft Azure Sentinelo status do incidente é atualizado em Microsoft Azureincidente com os comentários após o. SIRo incidente foi criado no Now Platform. Atualização de status de incidente inicial Status do incidente inicial que é atualizado no Microsoft Azure Sentinelambiente. Você pode selecionar Novo ou Ativo como o status. Comentários iniciais retornados para o incidente Comentários iniciais que são publicados no incidente em Microsoft Azure Sentinelambiente. Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato(nome do campo) para qualquer campo no SIRformulário de incidente.
Atualizações de fechamento de incidentes Feche incidentes do Azure Sentinel após o fechamento do incidente SIR Opção que permite usar a funcionalidade de atualização automatizada de status do incidente. Microsoft Azure Sentinelos incidentes são encerrados no Microsoft Azureincidente com os comentários fornecidos após o. SIRo incidente está encerrado em Now Platform. Atualização de status de incidente de fechamento Atualização de status no Microsoft Azure Sentinelincidente quando o incidente é encerrado em SIR. Comentários de fechamento publicados novamente no incidente Comentários publicados no incidente em Microsoft Azure Sentinelincidente quando o incidente é encerrado em SIR. Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato(nome do campo) para qualquer campo no SIRformulário de incidente.
Classificação de incidente e motivo do fechamento Método para a classificação do incidente e o motivo de fechamento que é usado para encerrar o incidente no Microsoft Azure Sentinelambiente. Selecione Classificação de incidente padrão e motivo de fechamento método para fechar o incidente no Microsoft Azure Sentinelambiente. Ao selecionar este método, você deve definir o. Classificação de incidente padrão e motivo de fechamento . Quando você fecha um incidente no SIR, o status do incidente no Azure Sentinel também é Encerrado com o especificado Classificação de incidente padrão e motivo de fechamento .
Selecione Classificação de incidente e motivo de fechamento - Mapeamento de código de fechamento do SIR método para fechar os incidentes e mapear os motivos da classificação com SIRcódigos de fechamento. Você pode mapear vários SIRcódigos de fechamento para um único motivo de classificação. Depois de encerrar um incidente em SIRUsando o código de fechamento, o status do incidente no Azure Sentinel também é Encerrado com a classificação de incidente mapeada e o motivo de fechamento.
Se o motivo da classificação e. SIROs códigos de fechamento não foram mapeados ou uma correspondência não foi encontrada, então o incidente é encerrado usando o motivo de classificação padrão como "Indeterminado" no Microsoft Azure Sentinelambiente.
Sincronização de Anotações de trabalho de SIR e comentários de incidente do Azure Sentinel Atualizar anotações de trabalho SIR com comentários de incidentes do Azure Sentinel Opção que você pode selecionar para atualizar Microsoft Azure Sentinelcomentários em SIRanotações de trabalho. O comentário em SIRas anotações de trabalho aparecem com o prefixo Comentário do Sentinel . O comentário também contém o ID do Sentinel, detalhes do analista e o carimbo de data/hora. Atualizar comentários de incidentes do Azure Sentinel com anotações de trabalho SIR Opção que você pode selecionar para atualizar SIRanotações de trabalho no Microsoft Azure Sentinelcomentários do incidente. O comentário em Microsoft Azure Sentinelaparece com o prefixo Comentário da ServiceNow . O exemplo a seguir mostra as opções de configuração disponíveis para automatizar atualizações de incidentes.
- Clique em Concluir.