Automatize as atualizações e fechamentos de incidentes pelo SIR status do incidente

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Automatize as atualizações e fechamentos de incidentes pelo SIR status do incidente. . Microsoft Azure Sentinel a integração tem uma interface bidirecional que permite que os incidentes criem incidentes de segurança e atualizem os incidentes depois que o incidente de segurança é criado ou encerrado.

    Antes de Iniciar

    Função necessária: sn_si.ingestion_profile_admin

    Nota:
    Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão.

    Procedimento

    1. No formulário, preencha os detalhes.
      Siga as instruções para concluir a configuração para atualizar incidentes ao criar ou fechar um incidente de segurança em SIR.
      Tabela 1. Formulário Automatizando atualizações de incidentes
      Categoria Campo Descrição
      Atualizações de criação de incidente Atualize o status de incidentes do Azure Sentinel após a criação do incidente SIR Opção que permite que você use a funcionalidade de atualização automatizada de incidentes. . Microsoft Azure Sentinel o status do incidente é atualizado em Microsoft Azure incidente com os comentários após SIR o incidente é criado em ServiceNow AI Platform.
      Atualização de status de incidente inicial Status do incidente inicial que é atualizado em Microsoft Azure Sentinel ambiente. Você pode selecionar Novo ou Ativo como o status.
      Comentários iniciais retornados para o incidente Comentários iniciais que são publicados no incidente em Microsoft Azure Sentinel ambiente.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no SIR formulário incidente.
      Atualizações de fechamento de incidentes Feche incidentes do Azure Sentinel após o fechamento do incidente SIR Opção que permite que você use a funcionalidade de atualização automatizada de status do incidente. Microsoft Azure Sentinel os incidentes são encerrados no Microsoft Azure incidente com os comentários fornecidos após SIR o incidente está encerrado em ServiceNow AI Platform.
      Atualização de status de incidente de fechamento Atualização de status no Microsoft Azure Sentinel incidente quando o incidente é encerrado em SIR.
      Comentários de fechamento retornados para o incidente Comentários publicados no incidente em Microsoft Azure Sentinel incidente quando o incidente é encerrado em SIR.

      Edite o texto padrão que é exibido na seção de comentários adicionando ou modificando as variáveis de substituição usando o formato⁠"nome do campo" para qualquer campo no SIR formulário incidente.
      Classificação de incidente e motivo do fechamento Método para a classificação do incidente e o motivo do fechamento que é usado para fechar o incidente no Microsoft Azure Sentinel ambiente.

      Selecione Classificação de incidente padrão e motivo de fechamento método para fechar o incidente no Microsoft Azure Sentinel ambiente. Ao selecionar este método, você deve definir Classificação de incidente padrão e motivo de fechamento . Quando você fecha um incidente no SIR, o status do incidente no Azure Sentinel também é Encerrado com o especificado Classificação de incidente padrão e motivo de fechamento .

      Selecione Mapeamento de código de fechamento do SIR de classificação de incidente e motivo de fechamento método para fechar os incidentes e mapear os motivos da classificação com SIR códigos de fechamento. Você pode mapear vários SIR códigos de fechamento para um único motivo de classificação. Depois de fechar um incidente em SIR Usando o código de fechamento, o status do incidente no Azure Sentinel também é Encerrado com a classificação de incidente mapeada e o motivo do fechamento.

      Se o motivo da classificação e. SIR Códigos de fechamento não são mapeados ou uma correspondência não foi encontrada, então o incidente é encerrado usando o motivo de classificação padrão como "Indeterminado" em Microsoft Azure Sentinel ambiente.
      Sincronização de Anotações de trabalho de SIR e comentários de incidente do Azure Sentinel Atualizar anotações de trabalho SIR com comentários de incidentes do Azure Sentinel Opção que você pode selecionar para atualizar seu Microsoft Azure Sentinel comentários em SIR anotações de trabalho. O comentário em SIR as anotações de trabalho aparecem com o prefixo Comentário do Sentinel . O comentário também contém o ID do Sentinel, os detalhes do analista e o carimbo de data/hora.
      Atualizar comentários de incidentes do Azure Sentinel com anotações de trabalho SIR Opção que você pode selecionar para atualizar seu SIR anotações de trabalho no Microsoft Azure Sentinel comentários do incidente. O comentário em Microsoft Azure Sentinel aparece com o prefixo Comentário da ServiceNow .

      O exemplo a seguir mostra as opções de configuração disponíveis para automatizar atualizações de incidentes.

      Opções para automatizar incidentes.
    2. Clique em Concluir.

    O que Fazer Depois

    O perfil é movido para o estado Aguardando. Quando a mensagem de confirmação mostrar que a instalação e a configuração estão concluídas, você pode ativar o perfil.