Die Plugins Security Incident Response, Vulnerability Responseund Threat Intelligence haben gemeinsame Funktionen für Beziehungsdaten und Duplizierungsregeln, die zum Importieren externer und interner Informationen in Security Operationsverwendet werden.

E-Mail-Analyse, Duplizierungsregelnund Feldzuordnung nehmen Eingabedaten (eine E-Mail, JSON- oder XML-Datei oder einen Datensatz) und wandeln diese Daten in das richtige Format um, um einen neuen Datensatz zu erstellen. Jede dieser Funktionen ruft Daten auf ihre eigene Weise ab, aber sie werden mit vielen der gleichen Prozesse in den neuen Datensatz umgewandelt.

Beziehungsdaten

Wenn Sie einer zugehörigen Liste (z. B. einem zugeordneten erkennbaren Element in einem Security Incident) Informationen hinzufügen, können Sie einen Beziehungsdatensatz erstellen, der aus einer M2M-Tabelle besteht. Manchmal sind in diesem Beziehungsdatensatz zusätzliche Daten festzulegen. Beispielsweise kann ein erkennbares Element eine Quell-IP sein (im Gegensatz zu einer Ziel-IP). Diese Informationen werden in das Feld Beziehungsdaten des Feldtransformationsformulars, das von der E- Mail -Analyse verwendet wird, oder in eine zugehörige Liste der Feldzuordnungsfelder im Feldzuordnungsformulareingefügt.

Das Feld „ Beziehungsdaten“ ist normalerweise leer. Sie wird am häufigsten für IP-Adressen für erkennbare Elemente bei der E-Mail-Analyseverwendet.

Sie können Daten aus jedem ServiceNow -Datensatz in einen anderen ServiceNow -Datensatz umwandeln, indem Sie Feldzuordnungsfelder in der Funktion „ Feldzuordnung “ verwenden. Beispielsweise um Daten von einem Incident in einen Security Incident oder einen Security Incident in einen PRB umzuwandeln.

Duplizierungsregeln für Security Operations

Verwenden Sie Duplizierungsregeln, um doppelte Datensätze für Sicherheit, Schwachstelle, IoCs usw. zu behandeln.

Duplizierungsregeln haben zwei Zwecke. Sie verhindern, dass zu viele doppelte Datensätze erstellt werden, und geben an, welche Felder im Datensatz aktualisiert werden, wenn ein Duplikat erkannt wird. Es wird nur nach aktiven Duplikaten gesucht. Wenn der Datensatz nicht aktiv ist, z. B. wenn der Incident geschlossen wird, wird jedes neue identische Problem zu einem neuen Incident.

Duplizierungsregeln werden von E-Mail-Analysen, Feldzuordnungenund Ergänzungsdatenzuordnungenverwendet.