Prisma Cloud: Prisma Cloud アラートが再開しても新しい ServiceNow インシデントは作成されません

1937

Created On 08/14/24 18:09 PM - Last Modified 01/07/25 04:46 AM

Symptom

ServiceNow 用の Prisma Cloud 通知テンプレートは、「アラートの状態が解決済みからオープンに変更されたときに新しい ServiceNow インシデントを自動作成する」オプションで有効になっていますが、次のようになります。
- アラートがRESOLVED状態からOPEN状態に移行しても、ServiceNow に新しいインシデントは作成されませんでした。
- DISMISSED状態からOPEN状態に移行したアラートは、ServiceNow で新しいインシデントを作成しませんでした。

ServiceNow インシデントが手動でクローズされ、ServiceNow 用の Prisma Cloud 通知テンプレートで「アラートの状態が解決済みからオープンに変更されたときに新しい ServiceNow インシデントを自動的に作成する」オプションが有効になっている場合、アラートの状態が変更されたときにさらに通知を送信するときに不一致が生じます。
Prisma Cloud が ServiceNow でインシデントを作成すると、システム ID がデータベースにマッピングされ、アラートの状態が解決済みや再開などに変わると、Prisma がインシデントを終了したり再開したりするのに役立ちます。
インシデントが手動でクローズされた場合、マッピングエントリはデータベースから削除されず、通知テンプレートで「アラートの状態が解決済みからオープンに変更されたときに新しい ServiceNow インシデントを自動的に作成する」オプションが有効になっているため、新しいインシデントは作成されません。

この問題を解決するには、ServiceNow インシデントを手動で閉じないようにすることをお勧めします。
ServiceNow でインシデントが手動でクローズされ、アラートが再開された後に新しいインシデントをオープンすることをユーザーが希望する場合は、ServiceNow インシデントが手動でクローズされたアラートID のリストとともに Prisma Cloud サポートチームに連絡してください。