Integrationsfähigkeiten-Framework 2,0

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 11 Minuten Lesedauer

    • Das neue Framework für Integrationsfähigkeiten 2,0 wurde überarbeitet, um die Implementierung von Integrationen auf einfache und konsistente Weise zu ermöglichen. Dies stellt eine konsistente Experience für ähnliche Integrationstypen sicher (z. B. Reputationssuche erkennbarer Elemente).

    Das neue Framework verfügt über Fähigkeiten, die mit implementiert wurden Flows .

    Vorteile der erweiterten Framework-Implementierung:

    • Die Fähigkeits-Flows, die nur Komponenten auf Geschäftsebene ohne implementierungsspezifische Logik enthalten.
    • Die Fähigkeits-Flows akzeptieren jetzt ein breites Spektrum von Eingaben und Formaten für maximale Flexibilität (z. B. Referenzen erkennbarer Elemente, CI-Referenzen, Aufgaben, beliebige Tabellen- oder sys_ID-Kombinationen).
    • Die Quotenbegrenzung oder Drosselung bei Integrationsausführungen ist jetzt einfach zu konfigurieren (ohne dass dies mit anwenderdefiniertem Code oder Änderungen an Implementierungs-Workflows erfolgen muss).
    • Verbesserte Funktionen für Auditing und Ausführungsnachverfolgung ermöglichen jetzt bessere Berichterstellung und einfachere Problembehandlung.
    • Robuste Fehlerbehandlungsfunktionen sind in die Fähigkeits-Flows integriert, um Duplikate von Implementierungsroutinen zu vermeiden.
    • Fähigkeit, die bedingte Auslösung der Fähigkeiten oder Integrationen zu konfigurieren. Dies bietet Flexibilität, Automatisierungen basierend auf der Incident-Kategorie automatisch zu starten.
    • Eine Standardfilterbedingung wurde für alle Fähigkeiten eingeführt, um „Allow“-aufgelistete erkennbare Elemente zu filtern, bevor Eingaben für die Integrationen bereitgestellt werden.
    Hinweis:
    Dieses neue Fähigkeits-Framework führt kein Upgrade des aktuellen Fähigkeits-Frameworks durch. Beide Frameworks können parallel arbeiten. Anweisungen zur Nutzung des neuen Fähigkeits-Frameworks finden Sie unter Verwenden des neuen Fähigkeits-Frameworks mit einer installierten Integration Und Verwenden des neuen Fähigkeits-Frameworks mit einem Flow.

    Unterstützte Integrationen und Komponenten

    Das Plugin „Antwort auf Security Incidents“ enthält alle Fähigkeits-Flows, die im Integrationsfähigkeiten-Framework 2,0 aufgeführt sind, und standardmäßige Filter auf allgemeiner Ebene, die Sie je nach Ihren Anforderungen aktivieren oder deaktivieren können.

    Hinweis:
    Wenn Sie das neue Fähigkeitsintegrations-Framework mit dem New York-Release verwenden möchten, müssen Sie das Plugin „ServiceNow IntegrationHub-Starterpaket-Installationsprogramm“ installieren. Wenden Sie sich an den Kundensupport, um Unterstützung bei der Installation zu erhalten.

    Unterstützte Anwendungsversionen

    Ab Security Incident Response 10.0 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Integration Der Hybridanalyse Für Security Operations 10.0.0
    PhishTank-Integration für Sicherheitsvorgänge 10.0.0
    Sicherheitsvorgänge – ThreatCrowd-Integration 10.0.0
    CrowdStrike Intelligence-Integration für Security Operations 10.0.0
    Sicherheitsvorgänge „wurde ich pwned?“ Integration 10.0.0
    Integration Des Metadefenders Für Sicherheitsvorgänge 10.0.0
    Aufgezeichnete Zukünftige Integration Von Sicherheitsvorgängen 10.0.0
    VirusTotal-Integration für Sicherheitsvorgänge 10.0.0
    Sicherheitsvorgänge – WHOIS-Integration umkehren 10.0.0
    Ab Security Incident Response 10.4 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    RiskIQ-Integration für Sicherheitsvorgänge 10.0.0
    Sicherheitsvorgänge – Shodan-Integration 10.0.0
    WHOIS-Integration für Sicherheitsvorgänge 10.0.0
    Carbon Black-Integration Für Security Operations 10.3.1
    Splunk-Suchintegration Für Sicherheitsvorgänge 10.3.0
    Integration von ArcSight Logger für Sicherheitsvorgänge 10.3.0
    Security Operations McAfee ESM-Integration 10.3.0
    Elasticsearch-Integration Für Sicherheitsvorgänge 10.3.0
    IBM QRadar-Integration für Sicherheitsvorgänge 10.3.1
    CrowdStrike-Falcon-Host für Sicherheitsvorgänge 10.3.0

    Komponenten enthalten

    Das neue Fähigkeitsintegrations-Framework enthält die folgenden Komponenten:

    • Fähigkeiten : Alle der folgenden Fähigkeiten, die heute im Produkt als Workflows vorhanden sind, wurden mit neu entworfen Flows :
      • Anforderung Blockieren : Bietet eine Möglichkeit zum Blockieren erkennbarer Elemente, die einem Security Incident in einer Firewall, einem Webproxy oder einem anderen Kontrollpunkt zugeordnet sind. Diese Fähigkeit wird bei der Reaktion auf Incidents für Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • E-Mail-Suche und -Löschung : Bietet eine Möglichkeit, während einer Sicherheitsuntersuchung einen E-Mail-Server zu durchsuchen und bei Bedarf E-Mails vom Server zu löschen.
      • Konfigurationselement Anreichern : Bietet eine allgemeine Möglichkeit, Konfigurationselemente mit zusätzlichen Informationen aus verschiedenen Quellen zu ergänzen. Diese Fähigkeit wird bei Untersuchungen zur Reaktion auf Incidents verwendet, um Daten anzureichern, die einem Security Incident zugeordnet sind.
      • Reichern Sie Erkennbares Element An : Bietet eine allgemeine Möglichkeit, erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen Quellen zu ergänzen. Diese Fähigkeit wird bei der Reaktion auf Incidents für Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • Ereigniserfassung : Bietet eine allgemeine Möglichkeit zum Erstellen eines Security Incidents, indem Ereignisse aus einer Integrationsquelle einem Security Incident zugeordnet werden.
      • Rufen Sie Netzwerkstatistiken Ab : Ruft eine Liste aktiver Netzwerkverbindungen von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen zur Ergänzung von Incidents verwendet.
      • Laufende Prozesse Abrufen : Ruft eine Liste der laufenden Prozesse von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen zur Ergänzung von Incidents verwendet.
      • Host Isolieren : Bietet eine Möglichkeit, einen Endpunkt oder einen Host zu isolieren, der einem Security Incident zugeordnet ist. „Host isolieren“ wird für ein Konfigurationselement (CI) ausgeführt.
      • In Beobachtungsliste veröffentlichen : Bietet eine Möglichkeit zum Hinzufügen erkennbarer Elemente, die einem Security Incident zugeordnet sind, zu einer Beobachtungsliste, die Sicherheitsereignisse überwacht und Warnungen generiert. Diese Fähigkeit wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
      • Sichtungssuche : Durchsucht verschiedene SIEMs oder andere Protokollspeicher nach Instanzen von erkennbaren Elementen. Diese Fähigkeit wird verwendet, um das Vorhandensein schädlicher IoCs in Ihrer Umgebung zu bestimmen.
      • Bedrohungssuche : Führt Threat Intelligence-Suchen durch, um zu bestimmen, ob ein bestimmtes erkennbares Element einer bekannten Sicherheitsbedrohung zugeordnet ist. Diese Fähigkeit wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
    • Neue Tabellen :
      • sn_sec_cmn_capability:-Fähigkeit und -Flow, die die Fähigkeit implementieren.
      • sn_sec_cmn_capability_implementation: der tatsächliche Implementierungs-Flow, der die Services der Fähigkeit bereitstellt.
      • sn_sec_cmn_capability_execution: des Ausführungsdatensatzes für eine Fähigkeit zur Laufzeit.
      • sn_sec_cmn_capability_implementation_execution: der Ausführungsdatensatz für eine Fähigkeitsimplementierung zur Laufzeit.
      • sn_sec_cmn_filter_condition: die Filterbedingungen, die zur Laufzeit auf die Fähigkeit oder eine Fähigkeitsimplementierung angewendet werden können.
    • Skript einschließen : Funktionsprozessor: Verarbeitet den gesamten Verarbeitungscode für das Framework.
    • Quotenlimit : Maximale gleichzeitige Anforderung für Fähigkeit pro Zeitraum: Definiert, wie viele Integrationen parallel ausgeführt werden können.
    • Implementierung der Prozessfähigkeit für geplante Aufgabe : Wird alle 15 Sekunden ausgeführt und kann auf der Seite „Sicherheitsverwaltungseigenschaften“ deaktiviert werden (Security Incident > Administration > Eigenschaften) an.
      • Aktiviert oder deaktiviert die geplante Aufgabe „Implementierungen der Prozessfähigkeit“: Dieser Auftrag plant und verwaltet automatisch die Ausführungs-Flows der Fähigkeitsimplementierung.
      • Aktiviert oder deaktiviert automatisierte Suchen oder Ergänzungen: Einstellung, die die geplante Aufgabe aktiviert oder deaktiviert, die eine automatisierte Bedrohungssuche oder Ergänzung erkennbarer Elemente durchführt, wenn erkennbare Elemente Security Incidents im aktuellen Fähigkeits-Framework hinzugefügt werden.
      • Aktiviert oder deaktiviert die geplante Aufgabe „erkennbare Elemente für Security Incidents suchen“: Dieser Auftrag plant automatisch einen Auftrag für die Bedrohungssuche oder das Anreichern erkennbarer Elemente, wenn erkennbare Elemente einem Security Incident hinzugefügt werden.

    Konfigurationen im neuen Fähigkeits-Framework

    In diesem Abschnitt werden die im neuen Framework verfügbaren Konfigurationen beschrieben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, Flow_Designer, action_Designer

    Prozedur

    1. Navigieren zu Alle > Security Operations > Integrationen > Funktionenan.
      Hinweis:
      Version 10.4: Beginnend mit der Antwort auf Security Incidents 10.4, dem Menünamen Fähigkeiten Wurde in geändert Integrationsfähigkeiten (Flows) .
    2. Die mit dem Basissystem verfügbaren Fähigkeiten werden angezeigt.

      Fähigkeits-Flows: Sofort einsatzbereit
      Hinweis:

      Dies sind die Fähigkeiten, die mit dem Basissystem bereitgestellt werden. Sie können die Fähigkeiten verwenden oder nach Bedarf anpassen. Die folgenden Schritte beschreiben, wie eine Fähigkeit und die für die Fähigkeit implementierten Integrationen konfiguriert werden.

    3. Klicken Sie auf den Link in der Spalte Name, um eine Fähigkeit zu konfigurieren.
      Der Name, die Anwendung, die Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
      Fähigkeits-Flows: Fähigkeit konfigurieren
    4. Wählen Sie aus Aktiv Kontrollkästchen zum Aktivieren der Fähigkeit.
      • Filterbedingungen auf Fähigkeitsebene : Wenn eine Integrationsfähigkeit einen Flow implementiert, werden die dem Flow zugeordneten Filterbedingungen ausgeführt, bevor der Fähigkeits-Flow gestartet wird. Beispielsweise enthält die Fähigkeit „Bedrohungssuche“ die oben gezeigte Bedingung „Allow list erkennbare Elemente filtern“. Klicken Sie auf den Namenslink, um die Filterbedingung zu bearbeiten.
        Hinweis:
        Wählen Sie aus Arbeitsnotiz zu Aufgabe hinzufügen Kontrollkästchen zum Hinzufügen von Arbeitsnotizen, um Informationen zu den verwendeten Filterbedingungen einzubeziehen.

        Fähigkeits-Flows: Fähigkeit konfigurieren: Filterbedingung bearbeiten

        Sie können entweder Filterbedingungen oder ein Skript oder eine Kombination aus beiden definieren. Im obigen Beispiel wird ein Skript verwendet, um die Filterbedingungen zu definieren. Wenn der Fähigkeits-Flow ausgeführt wird, sucht das Skript nach zulässigen erkennbaren Elementen und entfernt sie aus der Tabelle.

        Hinweis:
        Die hier festgelegten Filterbedingungen gelten für alle aktiven Integrationen, die in definiert sind Fähigkeitsimplementierungen Registerkarte.
      • Fähigkeitsimplementierungen : Klicken Sie auf Fähigkeitsimplementierungen Registerkarte. Die Implementierungen (Integrationen), die für die Fähigkeit konfiguriert wurden, werden angezeigt. Das folgende Beispiel zeigt die Integrationen, die für die Fähigkeit „Bedrohungssuche“ konfiguriert sind:
        Fähigkeits-Flows: Bedrohungssuche: Fähigkeitsimplementierungen
    5. Klicken Sie auf den Namenslink, um die Fähigkeitsimplementierung anzuzeigen.
      Der Name, die Anwendung, die Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
    6. Klicken Sie auf Aktiv Kontrollkästchen zum Aktivieren der Fähigkeit.
      Fähigkeits-Flows: Bedrohungssuche: Virustotal

      Sie können die folgenden Details angeben:

      Tabelle : 1.
      Feldname Beschreibung
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese Integration zu deaktivieren.
      Hinweis:
      Wenn Sie diese Integration mithilfe der Integrationskachel in konfigurieren Security Operations > Integrationen > IntegrationskonfigurationenSeite, wird diese Kennzeichnung automatisch auf festgelegt Aktiv .
      Reihenfolge Gibt die Reihenfolge an, in der die Integrationen ausgeführt werden.
      Fähigkeit Die von dieser Integration implementierte Fähigkeit.
      Fluss Der Subflow, der die Fähigkeit implementiert.
      Konfiguration Die Integrationskonfiguration für diese Fähigkeit.
      Hinweis:
      Dies wird anfänglich auf die Standardkonfiguration festgelegt, die mit dem Basissystem bereitgestellt wird. Wenn eine Integration mithilfe der Integrationskachel in konfiguriert wird Integrationskonfigurationen Seite, wird dieser Wert automatisch auf die neu erstellte Konfiguration zurückgesetzt.
      Quotengrenze Gibt die Anzahl der Integrationen an, die zur Laufzeit ausgeführt werden können (parallel oder pro Zeiteinheit).
      Batch-Eingabegröße Die Batch-Eingabegröße für jede Ausführung. Für eine Sichtungssuchintegration können Sie beispielsweise die erkennbaren Elemente in Batches von 50 gruppieren, damit die generierten Abfragen nicht zu groß werden. 0 gibt an, dass kein Grenzwert vorhanden ist.
      Zeitüberschreitungszeitraum Die maximale Dauer, bevor der Fähigkeitsimplementierungs-Flow abgebrochen wird. 0 gibt an, dass kein Zeitüberschreitungszeitraum vorhanden ist.
      Anforderungen insgesamt Die Gesamtzahl der Implementierungsausführungsanforderungen. Dieses Feld kann in Verbindung mit dem Feld „Gesamtzahl der Anforderungen“ verwendet werden, um die Anzahl der Anforderungen für den Service zu begrenzen. Sie können die Anzahl beispielsweise auf 4 Anforderungen pro Minute beschränken.
      Anforderungen insgesamt im Zeitraum Die Gesamtzahl der zulässigen Ausführungsanforderungen pro Zeitraum.
      Wiederholungsbegrenzung Die Anzahl der zulässigen Wiederholungen für eine fehlgeschlagene Ausführungsanforderung. Dieser Grenzwert gilt, wenn Wiederholen Sie Den Vorgang Die Kennzeichnung ist in Ihrer Integration festgelegt, um eine Ausführungsanforderung zu wiederholen, wenn eine Bedingung erfüllt ist.

      Beispielsweise wird eine Wiederholungsanforderung gestellt, wenn Sie Ihr Lizenzlimit für diesen Service für einen Zeitraum überschritten haben oder der Service ausgefallen ist.
      Wiederholen nach Der Zeitraum, nach dem versucht wird, eine fehlgeschlagene Ausführungsanforderung erneut zu versuchen.
      Max. gleichzeitige Anforderungen Die maximale Anzahl gleichzeitiger Implementierungsausführungsanforderungen. 0 gibt keinen Grenzwert an.
      Sichtungssuchkonfigurationen Die standardmäßigen Sichtungssuchabfragen, die ausgeführt werden können.
      Klicken Sie im Abschnitt Filterbedingungen auf den Link Name, um die für die Implementierung definierten Bedingungen zu konfigurieren. Fügen Sie Filterbedingungen hinzu oder löschen Sie sie, ändern Sie das Skript bei Bedarf, und aktualisieren Sie den Datensatz.
      Fähigkeits-Flows: Bedrohungssuche: Virustotal: Filterbedingung

    Verwenden des neuen Fähigkeits-Frameworks mit einer installierten Integration

    In diesem Abschnitt wird beschrieben, wie das neue Fähigkeits-Framework für eine vorhandene Integration verwendet wird.

    Führen Sie die folgenden Schritte aus, um eine bereits installierte und konfigurierte Integration zu aktivieren (siehe unterstützte Liste der Integrationen in Unterstützte Integrationen und Komponenten) Zur Verwendung des neuen Fähigkeits-Frameworks.

    Hinweis:
    Das Integrationsfähigkeits-Framework 2,0, das mit der Reaktion auf Security Incidents 10.0.2 verfügbar ist, unterstützt Implementierungen für Bedrohungssuche Und Reichern Sie Erkennbares Element An Fähigkeiten. Implementierungen für andere Fähigkeiten werden in einem zukünftigen Release verfügbar gemacht.
    Bevor Sie beginnen
    • Erforderliche Rolle: sn_si.admin
    • Antwort Auf Security Incidents 10.0.2
    1. Navigieren zu Security Operations > Integrationen > Funktionenan.
    2. Klicken Sie auf Bedrohungssuche Fähigkeit.
    3. Klicken Sie auf die Registerkarte Fähigkeitsimplementierung.
      Fähigkeits-Framework: Neue Fähigkeit
    4. 4. Zeigen Sie den Fähigkeitsimplementierungsdatensatz für die Integration von Interesse an (Beispiel: CrowdStrike Falcon Intelligence). Die Aktiv Spalte muss den Wert als haben Falsch .
    5. Klicken Sie auf Name Link zum Anzeigen des Implementierungsdatensatzes.
      Fähigkeits-Framework: Neuer Fähigkeitsimplementierungsdatensatz
    6. Aktivieren Sie die Checkbox Aktiv.
    7. Stellen Sie sicher, dass der Implementierungsdatensatz auf den richtigen Konfigurationsdatensatz (den Kachelnamen für die Integration in) verweist Integrationskonfigurationen > Konfigurationen Anzeigen (Ja)) an.
      Fähigkeits-Framework: Konfigurationskachel
    8. Die Implementierung ist für die Verwendung mit dem neuen Framework aktiviert.
    Hinweis:
    Alle unterstützten Integrationen, wenn sie mit Security Incident Response 10.0.2 installiert werden, werden automatisch unter dem neuen Integrationsfähigkeits-Framework aktiviert.

    Verwenden des neuen Fähigkeits-Frameworks mit einem Flow

    Führen Sie die folgenden Schritte aus, um einen Flow zu erstellen und den Subflow aufzurufen, der vom neuen Fähigkeits-Framework bereitgestellt wird.

    Vorbereitungen

    Die folgenden Schritte beschreiben, wie Sie einen Beispiel-Flow erstellen und einen der Subflows aufrufen, die mit dem neuen Fähigkeits-Framework bereitgestellt werden.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designeran.
    2. Klicken Sie Auf Neu Um einen neuen Flow zu erstellen und die erforderlichen Informationen für die Eigenschaften bereitzustellen.
      Fähigkeits-Framework: Neuen Flow erstellen
      Hinweis:
      Wählen Sie Aus Systemanwender In der Auswahlliste „Ausführen als“, wie im obigen Bild gezeigt.
    3. Wählen Sie eine Auslöserbedingung für den Flow aus (ein allgemeiner Auslöser ist die Erstellung eines Security Incident-Datensatzes für eine bestimmte Incident-Kategorie).
      Fähigkeits-Framework: Neuen Flow erstellen: Auslöser
    4. Wählen Sie in Schritt 1 des Flows eine Aktion aus, um Eingaben aus dem Security Incident abzurufen (z. B. erkennbare Elemente).
      Sie können eine Aktion aus den Aktionen auswählen, die mit dem Basissystem mit der allgemeinen Spoke für Sicherheitssupport bereitgestellt werden.

      Fähigkeits-Framework: Neuen Flow erstellen: Aktion
    5. Wählen Sie in Schritt 2 einen Subflow aus (z. B. Bedrohungssuche).
      Fähigkeits-Framework: Neuen Flow erstellen: subflow
    6. Konfigurieren Sie den ausgewählten Subflow wie unten gezeigt:
      Fähigkeits-Framework: Neuen Flow erstellen: Subflow konfigurieren
    7. Speichern und veröffentlichen Sie den Flow.

    Problembehandlung bei Integrationsfähigkeits-Flows

    Die Option „Fähigkeitsausführungen“ bietet detaillierte Informationen zu jeder ausgeführten Fähigkeit.

    Hinweis:
    Abgeschlossene Ausführungen werden nach 30 Tagen archiviert.
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitsausführungen.an.

      Fähigkeits-Framework: Fähigkeitsausführungen
    2. Klicken Sie auf den Link Fähigkeitsausführungen, um zusätzliche Details anzuzeigen.

    Arbeitsnotizen Des Security Incident-Datensatzes

    Wenn erkennbare Elemente einem Security Incident hinzugefügt wurden und die Auslöserbedingung für den Flow erfüllt ist, werden die Subflows „Bedrohungssuche“ und „erkennbare Elemente anreichern“ initiiert, und dem Security Incident werden die folgenden Arbeitsnotizen hinzugefügt:
    • Flow-Ausführung gestartet: Integration von Sicherheitsvorgängen – Anreicherung erkennbarer Elemente V1
    • Flow-Ausführung abgeschlossen: Integration von Sicherheitsvorgängen – Anreicherung des erkennbaren Elements V1
    • Flow-Ausführung gestartet: Integration von Sicherheitsvorgängen – Bedrohungssuche V1
    • Flow-Ausführung abgeschlossen: Integration von Sicherheitsvorgängen – Bedrohungssuche V1

    Um diese Arbeitsnotizen anzuzeigen, melden Sie sich als Anwender mit an sn_si.admin Oder sn_si.Analyst , Und Flow_Designer , Und Action_Designer Rollen.

    Navigieren Sie zur Datensatzseite für Security Incident, und klicken Sie auf diese Arbeitsnotizen, um die Flow-Ausführungsdetails anzuzeigen.
    Fähigkeits-Framework: Security Incident: Arbeitsnotizen