Automatize atualizações de alerta e fechamento com base no status do incidente SIR

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • . API de segurança do Microsoft Graph A integração de ingestão de alertas tem uma interface bidirecional que permite que ambos os alertas criem incidentes de segurança, bem como a capacidade de atualizar os alertas depois que o incidente de segurança é criado e/ou encerrado com detalhes relevantes do incidente, como SIR número do incidente, grupo de atribuição, SIR URL do incidente e assim por diante. T

    Antes de Iniciar

    Função necessária: sn_si.admin
    Nota:
    Os status de alerta inicial e de fechamento serão atualizados somente se esta funcionalidade for compatível com o provedor de serviços. Para obter detalhes, consulte API de segurança do Microsoft Graph e a documentação do provedor de segurança.

    Procedimento

    1. Se a página Opções adicionais na barra de andamento não for exibida, selecione Opções adicionais .
    2. Siga as instruções abaixo para concluir a configuração para atualizar alertas quando o incidente de segurança for criado.
      Opção ou CampoDescrição
      Atualizar alertas após a criação do incidente SIR Selecione esta opção se quiser atualizar o status do alerta e adicionar comentários adicionais quando um incidente de segurança for criado a partir do alerta. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como alertas agregados.
      Atualização do status do alerta inicial Selecione um status de alerta inicial na lista. Este status será definido para todos os alertas quando um incidente de segurança for criado para um alerta ingerido. Isso inclui alertas que criam novos incidentes e alertas que são ingeridos e agregados a um incidente em aberto existente.
      Nota:
      Com base no status de alerta selecionado aqui, o status de alerta usado pelos provedores de segurança será atualizado correspondentemente.
      Comentários iniciais retornados ao Alerta Com base na fase selecionada, os comentários padrão são exibidos. Você pode modificar o texto padrão e usar o formato "nome do campo" para adicionar ou modificar todos os campos disponíveis no formulário de incidente de segurança.
      Fechar alertas após o fechamento do incidente SIR Selecione esta opção se quiser usar a opção de fechamento de alerta automatizado. Isso pode ocorrer para os alertas de gatilho iniciais que criam o incidente de segurança, bem como alertas agregados. O status do alerta será atualizado no provedor de segurança com o status e os comentários de fechamento após SIR o incidente está encerrado em ServiceNow AI Platform.
      Atualização do status do alerta de fechamento Selecione um status de alerta na lista. Selecione o valor de status a ser definido para todos os alertas quando um incidente de segurança for encerrado para um alerta ingerido.
      Comentários de fechamento retornados para o alerta Os comentários de fechamento padrão são exibidos aqui. Você pode editar o texto padrão e usar o formato "nome do campo" para adicionar ou modificar todos os campos disponíveis no formulário de incidente de segurança.
    3. Clique em Concluir para concluir a configuração e mover o perfil para Aguardando estado.
      Uma caixa de diálogo de confirmação é exibida. Você concluiu com sucesso a instalação e a configuração da integração. Ative este perfil para extrair alertas do Microsoft Azure locatário com base em sua programação. Máximo de 1000 incidentes de segurança podem ser criados em um período de 24 horas.