Composants installés avec Réponse aux incidents de sécurité
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment les rôles d’utilisateur, les tables, les propriétés et les Réponse aux incidents de sécurité travaux planifiés.
Remarque :
La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.
Les données de démonstration sont disponibles pour cette fonctionnalité.
Propriétés installées
Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| L'heure de début par défaut pour tous les agents quand aucune planification n'est définie, au format suivant : 08:00 sn_si.default.start.time |
|
| Heure de fin par défaut pour tous les agents quand aucun calendrier n'est défini, au format suivant : 17:00 sn_si.default.end.time |
|
| Inclure les observables de type Destination ainsi que d'autres observables de type contexte dans les relations entre l'utilisateur de l'incident de sécurité et le CI sn_si.link_dest_ip |
Détermine si un incident de sécurité observable avec le type de contexte Destination s’affiche sous les onglets Éléments de configuration ou Utilisateurs affectés . Par défaut, les observables avec un type de contexte de destination sont exclus. Pour inclure les observables, choisissez Oui. |
| Autoriser la personnalisation lors de la création d’un problème ou d’une demande de changement à partir d’un incident de sécurité sn_si.fenêtre contextuelle |
Lorsqu’un problème ou un changement est créé, cette propriété ouvre une fenêtre contextuelle pour modifier la demande. Si ces propriétés sont définies sur faux, le problème ou la demande de changement a la même priorité, la même description courte et la même description que l’incident de sécurité sans la possibilité d’ajouter ou de modifier ces champs.
|
| Associez les résultats de recherche de perceptions aux CI dans la CMDB. sn_si.associate_ci_with_sighting_search |
Lorsqu’ils sont définis sur vrai, les résultats de la recherche de perceptions incluent les éléments de configuration associés qui se trouvent dans votre CMDB.
|
| Le score de risque dans la plage est en surbrillance verte, au format 0-49 sn_si.risk.score.green |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 0 et 49 sont marqués d’un point vert. |
| Le score de risque dans la plage est en surbrillance orange, au format 50-79 sn_si.risk.score.orange |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 50 et 79 sont signalés par un point orange. |
| Le score de risque dans la plage est en surbrillance rouge, au format 80-100 sn_si.risk.score.red |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 80 et 100 sont marqués d’un point rouge. |
| Ce paramètre active ou désactive les configurations de recherche de perceptions qui ont implémenté cette fonctionnalité. sn_si.enable_sighting_search |
Lorsqu’elle est définie sur vrai, les recherches de perceptions peuvent être effectuées sur les intégrations activées.
|
| Nombre de lignes de données brutes enregistrées lors de l’exécution d’une recherche d’observations. Plage 0-100 sn_si.sighting_search_raw_data_rows |
Cette propriété est définie par défaut sur 50 lignes de données brutes. La moitié des lignes de résultats sont signalées à partir du début de l’intervalle de temps de recherche et l’autre moitié à partir de la fin de l’intervalle de temps de recherche. Ainsi, si vous sélectionnez 50 lignes, 25 proviennent du début de l’intervalle de temps de recherche et 25 de la fin de l’intervalle de temps de recherche. |
| Faire passer automatiquement l'état de l'incident à Maîtriser lorsqu'une tâche de réponse passe à Travail en cours sn_si.rollup_task_state |
Lors de l’utilisation de flux ou de workflows, pensez à définir cette propriété sur faux. Cela vous permet de contrôler l’état de l’incident à partir de flux ou de workflows. Cela permet également d’éviter tout conflit potentiel lors de la transition d’un état d’incident à un autre.
|
| Propriétés de l’affectation pour Réponse aux incidents de sécurité | |
| Poids de l'emplacement sn_si.Emplacement.Poids |
Une note utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, l’emplacement est pris en compte pour une tâche, la valeur de poids de l’emplacement est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Poids des compétences sn_si.compétences.poids |
Une note utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, des compétences sont prises en compte pour une tâche, la valeur de poids des compétences est ajoutée à la note d’analyste de sécurité.
|
| Définir le nombre maximal d’analystes de sécurité à traiter par affectation automatique à un moment donné sn_si.max.agents.traités |
Le système a une limite absolue de 300 analystes de sécurité. Si vous spécifiez plus de 300, cette valeur est définie sur ce niveau. Le système ne peut pas répartir automatiquement une tâche pour un groupe de répartition qui contient plus d’analystes de sécurité que la valeur configurée.
|
| Poids du fuseau horaire sn_si.fuseau.horaire.poids |
Une note utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, le fuseau horaire de l’analyste de sécurité est pris en compte pour une tâche, la valeur de pondération du fuseau horaire est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Durée (en minutes) à ajouter entre la fin d’une tâche et le début du déplacement pour la suivante. sn_si.espacement.travail.espacement |
Un exemple d’une valeur de temps valide est 10.
|
Champs de journal spécifiés contenant des balises de code qui restituent le contenu au format HTML.sn_si.journal_field.html_enabled |
|
| Calculez les services impactés en arrière-plan. sn_si.refresh_impacted.event |
La liste connexe des services affectés et des CI impactés est générée par le biais d’événements. Lorsqu’elle est activée, l’actualisation est exécutée en arrière-plan et des balises de sécurité sont ajoutées à l’incident. Définissez la valeur sur vrai pour effectuer l’opération en arrière-plan.
|
| Récupérez le service critique à partir de données précalculées. sn_si.critical_service.calculator.use_cache |
Permet au calculateur de services critiques d’utiliser les données précalculées des éléments de configuration. Définir la valeur sur vrai pour effectuer une recherche à partir de données précalculées
|
Rôles installés
| Titre du rôle [name] | Description | Contient des rôles |
|---|---|---|
| Administrateur d'incident de sécurité [sn_si.admin] |
Contrôle total de toutes les Réponse aux incidents de sécurité données. Administre également les territoires et les compétences, selon les besoins. Remarque : Dans le système de base, l’administrateur a également accès à sn_si.admin. Réponse aux incidents de sécurité Peut être restreint par l’administrateur tant qu’au moins un autre utilisateur se voit affecter le rôle d’administrateur de sécurité. |
|
| Analyste des incidents de sécurité [sn_si.analyste] |
Gérer les incidents de sécurité. Rôle sous-jacent pour l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents de sécurité, des demandes et des tâches, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Incident de sécurité - Base [sn_si.basic] |
Rôle sous-jacent pour l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents de sécurité, des demandes et des tâches, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Directeur de la sécurité de l’information (CISO) [sn_si.ciso] |
Afficher et manipuler le tableau de bord CISO. En outre, si le module d’extension est activé, les Réponse aux vulnérabilités utilisateurs ayant ce rôle peuvent ajouter des arborescences de définition de l’importance de la vulnérabilité au tableau de bord. Vous pouvez également faire la même chose avec Réponse aux incidents de sécurité le plugin. |
|
| Incident de sécurité externe [sn_si.externe] |
Afficher tous les incidents de sécurité qui appartiennent à son groupe particulier. Remarque : Les deux règles suivantes s’appliquent partout ServiceNow , quel que soit l’administrateur du champ d’application ou l’application du champ d’application.
|
service_fulfiller |
| Utilisateur d’intégration d’incident de sécurité [sn_si.integration_user] |
Les outils externes peuvent fournir de nouveaux enregistrements d’incidents de sécurité et mettre à jour les enregistrements d’incidents de sécurité. | import_transformer |
| Administrateur de la base de connaissances sur les incidents de sécurité [sn_si.knowledge_admin] |
Gérez, mettez à jour et supprimez les informations de la base de connaissances des incidents de sécurité. |
|
| Gestionnaire d'incident de sécurité [sn_si.manager] |
Même accès que les analystes de sécurité. |
|
| Lecture de l’incident de sécurité [sn_si.read] |
Lire les incidents de sécurité. |
|
| Gestionnaire d’accès restreint à la sécurité [sn_si.restriction_access_manager] | Permet aux utilisateurs ou aux groupes d’appliquer des restrictions sur les incidents de sécurité. Cela ne s’applique qu’au changement de champ. | N/A |
| Accès spécial à l’incident de sécurité sn_si.accès_speciale |
Permet d’accéder à des incidents de sécurité spécifiques à des utilisateurs extérieurs à l’organisation des opérations de sécurité. | N/A |
| Activateur d’accès spécial à la sécurité [sn_si.special_access_enabler] | Fournit un rôle d’accès spécial à un utilisateur extérieur à l’organisation des opérations de sécurité à des incidents de sécurité spécifiques. | N/A |
| Gestionnaire de lecture d’accès spécial aux incidents de sécurité [sn_si.special_access_read_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès en lecture dans le formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
| Gestionnaire des rédacteurs d’accès spécial aux incidents de sécurité [sn_si.special_access_write_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès privilégié dans le formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
Travaux planifiés installés
| Tâche planifiée | Description |
|---|---|
| Rechercher des observables d’incident de sécurité | Effectue une recherche d’observables selon un calendrier défini par l’utilisateur. |
Tables installées
| Table | Description |
|---|---|
| Configuration du flux d'actualités [sn_si_feed_configuration] |
Enregistrements de configuration utilisés pour définir le contenu affiché dans le flux d’actualités de l’incident de sécurité. |
| Règle d'affectation de revue post-incident [sn_si_pir_condition] |
Automatise la sélection des participants d’une enquête de revue post-incident lorsqu’un incident de sécurité est fermé. |
| Incident de sécurité [sn_si_incident] |
Stocke un incident de sécurité, les réponses à l’incident, toutes les tâches liées, les changements, les problèmes et les incidents liés à cet incident de sécurité. |
| Vecteurs d'attaque des incidents de sécurité [sn_si_attack_vector] |
Options de vecteur d’attaque. |
| Journal d'audit des incidents de sécurité [sn_si_audit_log] |
Stocke les journaux d’audit d’enrichissement des incidents de sécurité. |
| Calculateur d'incidents de sécurité [sn_si_calculator] |
Un calculateur pour définir certains champs d’incident de sécurité lorsque certaines conditions sont remplies. |
| Groupe de calculateurs d'incidents de sécurité [sn_si_calculator_group] |
Un regroupement de calculateurs d’incident de sécurité L’ordre du groupe de calculateurs détermine quel groupe est évalué en premier, et dans chaque groupe, un calculateur au maximum est utilisé. |
| Pare-feu d’enrichissement des incidents de sécurité [sn_si_enrichment_firewall] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques à Palo Alto Networks Firewall. |
| Enrichissement des incidents de sécurité Résultats concernant les programmes malveillants [sn_si_enrichment_malware] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux programmes malveillants. |
| Enrichissement des incidents de sécurité Statistiques réseau [sn_si_enrichment_network_statistics] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux statistiques réseau. |
| Processus en cours d’enrichissement des incidents de sécurité [sn_si_enrichment_running _processes] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux processus en cours d’exécution. |
| Services d’exécution d’enrichissement des incidents de sécurité [sn_si_enrichment_running_service] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux services d’exécution. |
| Recherche d'e-mails d'incidents de sécurité [sn_si_m2m_incident_email_search] |
Mappe les enregistrements de recherche d’e-mails aux incidents de sécurité. |
| Importation des incidents de sécurité [sn_si_incident_import] |
Table à importer pour les incidents de sécurité. Utilisée pour créer des incidents de sécurité à partir de systèmes externes. |
| Définition de processus d'incident de sécurité [sn_si_process_definition] |
Stocke la configuration des flux de processus des incidents de sécurité. |
| Sélecteur de définitions de processus d'incidents de sécurité [sn_si_process_definition_selector] |
Stocke la définition du processus d’incident de sécurité à utiliser pour les incidents de sécurité. |
| Incident de sécurité associé au ticket du service clientèle [sn_si_m2m_incident_customerservice_case] |
Mappe les tickets du service clientèle et les incidents de sécurité |
| Données d'enrichissement associées aux incidents de sécurité [sn_si_m2m_incident_enrichment] |
Mappe les incidents de sécurité et les enregistrements de données d’enrichissement associés. |
| Tâche Réponse aux incidents de sécurité [sn_si_task] |
Gère les sous-tâches liées à la gestion d’un incident de sécurité. Ces tâches peuvent être affectées au personnel de sécurité, ou à des personnes d’autres départements, pour gérer la communication entre les départements et le suivi des tâches. |
| Modèle de tâche Réponse aux incidents de sécurité [sn_si_task_template] |
Utilisé pour créer une Réponse aux incidents de sécurité tâche. Ces modèles sont souvent utilisés dans les entrées de catalogue, afin de créer automatiquement un ensemble de sous-tâches appropriées pour un type particulier d’incident de sécurité. |
| Document Runbook d’incident de sécurité [sn_si_runbook_document] |
Associe les conditions ou les filtres d’incident de sécurité à un article de la base de connaissances. Utilisé pour spécifier des procédures de runbook pour la résolution des incidents de sécurité. |
| Modèle d'incident de sécurité [sn_si_incident_template] |
Utilisée pour créer un incident de sécurité. Ces modèles sont souvent utilisés dans les entrées de catalogue pour créer un incident de sécurité prédéfini. |
| Demande de sécurité [sn_si_request] |
Une demande liée à la sécurité à l’équipe de sécurité. |
| Demande d'analyse de sécurité [sn_si_scan_request] |
Une demande de recherche de menace. |
| Calculateur de gravité sn_si_severity_calculator |
Définit les valeurs de gravité, d’impact, de risque et de criticité d’un incident de sécurité. |
| Tâche Utilisateur concerné [sn_si_m2m_task_affected_user] |
Table plusieurs-à-plusieurs associant des incidents de sécurité à des utilisateurs affectés. |
| Évaluateur de résultats de l'activité du workflow de modèle [sn_si_wf_activity_outcome_evaluator] |
Mappe une aptitude avec un script d’évaluation. Un nouveau flux secondaire peut être ajouté à un workflow de modèle pour définir un résultat de tâche de réponse plutôt que d’être défini manuellement par un analyste. |