Security Incident Response – Ereignismanagement-Integration

Die Fähigkeiten der Anwendung Ereignismanagement wurden erweitert, um Security Incident Responsezu unterstützen. Das Support-Plugin Security Incident Response Ereignismanagement analysiert automatisch den Inhalt von Ereignissen in Ereignismanagement, um Felder in Security Incidents auszufüllen.

Erstellung von Sicherheitsereignissen im System Ereignismanagement aus Sicherheitsinformationen und Ereignismanagement (SIEM-)Tools

• Ereignismanagement-Funktionalität: Ereigniskorrelation, Ereignisregeln und Warnungsregeln
• Automatische Zuordnung der Werte von „additional_information“ zum resultierenden Security Incident

Ressourcen:

Support-Dokumentation zur Verwaltung von Security Incident-Ereignissen

Dokumentation zu Event Management

Security Incident Response - Importsatz-API-Integration

Die Anwendung [ Security Incident Response verwendet nicht nur Ereignismanagement zum Übertragen von sicherheitsbezogenen Ereignissen, sondern stellt auch eine Importsatz-API bereit, mit der Security Incidents direkt erstellt werden können. Der REST-Endpunkt für den Importsatz für Security Incidents lautet http://localhost:8080/api/now/import/sn_si_incident_import.

Diese Integrationstechnik ist nützlich, wenn a) Ereignismanagement nicht installiert ist oder b) Security Incidents einfach erstellt werden sollen, ohne den Flow Ereignis > Warnung > Security Incident zu durchlaufen, der bei Verwendung von Ereignismanagementerforderlich ist.

Erstellung von Security Incidents direkt mit SIEM-Tools.

Automatischer CI-Abgleich bei der Erstellung von Security Incidents basierend auf IP, NetBIOS oder vollqualifiziertem Domänennamen.

Ressourcen:

Dokumentation zur API des Plattform-Importsatzes

Threat Intelligence – Integration der Suchquelle

Suchquellen bieten die Möglichkeit, Daten an externe Suchquellen zu senden, um festzustellen, ob diese Daten schädlich sind. Im Allgemeinen sind diese Daten eine IP-Adresse, eine URL, eine Datei oder ein Datei-Hash.

Suchen Sie mit einem externen Suchservice nach einer IP-Adresse, URL, Datei oder einem Hash.

Nützliche Fähigkeiten bereitgestellt:

• Einheitliche Methode zum Anfordern von Suchvorgängen in Katalogelementen und Security Incidents.
• Quotenbegrenzungs- und -drosselungsfunktionen mit wenig/keiner Codierung.
• Automatische Erstellung von Einträgen erkennbarer Indikatoren für Kompromittierungsindikatoren (IoC) für alle Probleme, die von Suchquellen gefunden wurden.

Threat Intelligence – Integration der Bedrohungsquelle

Bedrohungsquellen bieten die Möglichkeit, Daten aus externen Threat Intelligence-Repositorys abzurufen. Diese Daten werden dann in die verschiedenen Tabellen für Kompromittierungsindikatoren importiert, die im System vorhanden sind. TAXII-Sammlungen und einfache Sperrlisten werden nativ unterstützt. Um neue TAXII-Sammlungen (oder Profile basierend auf einem Discovery- oder Sammlungsverwaltungsservice) hinzuzufügen, fügen Sie ganz einfach einen Eintrag hinzu. Ebenso ist das Hinzufügen einer neuen einfachen, einspaltigen Sperrliste eine Angelegenheit der Eingabe eines neuen Datensatzes und der Angabe der URL der Sperrliste. Für komplexere Datensätze kann eine anwenderdefinierte Integration bereitgestellt werden, um eine URL aufzurufen und die Antwort zu analysieren.

Rufen Sie Daten aus einer Threat Intelligence-Quelle ab, um sie in IoC-Tabellen zu laden.

Nützliche Fähigkeiten bereitgestellt:

• Unterstützung für einfache Sperrlisten und TAXII-Sammlungen ohne Codierung.
• Einfacher Mechanismus zum Ausführen von REST-Nachrichten zum Abrufen von Daten.
• Entkoppelter Datenabruf/-verarbeitung für die Wiederverwendbarkeit von Integrationskomponenten.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, Kontext an nachfolgende Aufrufe zu übergeben

Ressourcen:

Definieren Sie eine Bedrohungsquelle

Vulnerability Response – Integration des Scanneraufrufs

„Aufruf des Schwachstellenscanners“ ist ein schlanker Integrationseinstiegspunkt, der das Aufrufen von Schwachstellenscans aus der Instanz unterstützt. Der Schwachstellenscanner einer Drittpartei wird asynchron aufgerufen, um einen Scan auf Konfigurationselemente oder IP-Adressen zu planen.

Fordern Sie den Scanner einer Drittpartei an, ein CI (mithilfe von aus dem CI abgeleiteten Hostinformationen) oder eine IP-Adresse/IP-Adressen zu scannen.

Nützliche Fähigkeiten bereitgestellt:

• Einfaches Framework zum Definieren von Scanner-Implementierungen.
• Einheitliche Methode zum Anfordern von Scans von Katalogelementen, Security Incidents und angreifbaren Elementen.
• Automatische Aktualisierung von Aufgaben mit Ergebnis des Scan-Aufrufs.

Vulnerability Response – Datenintegration

Schwachstellendaten-Integrationen sollen Schwachstellendaten aus Schwachstellensystemen von Drittanbietern abrufen. Die erwarteten Ausgaben dieser Integrationen sind Schwachstelleneinträge und angreifbare Elemente. Durch diese Integration können Schwachstellenscanner von Drittparteien unabhängig voneinander funktionieren, mit der Erwartung, dass Schwachstellen innerhalb der Instanz bearbeitet und nachverfolgt werden können.

Abgedeckte Anwendungsfälle:

• Rufen Sie Schwachstellenbibliotheken ab
• Rufen Sie Schwachstellen-/CI-Paare ab
• Synchronisieren Sie CIs mit dem Schwachstellenmanagementsystem

• Entkoppelter Datenabruf/-verarbeitung für die Wiederverwendbarkeit von Integrationskomponenten.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, Kontext an nachfolgende Aufrufe zu übergeben.

Ressourcen:

Dokumentation zur Schwachstellendaten-Integration