Estrutura de capacidades de integrações 2,0

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 13 min. de leitura

    • A nova Estrutura de capacidades de integração 2,0 foi redesenhada para permitir a implementação de integrações de forma simples e consistente. Isso garante uma experiência consistente para tipos semelhantes de integrações (por exemplo: Pesquisa de reputação observável).

    A nova estrutura tem capacidades implementadas usando Fluxos .

    Os benefícios da implementação da estrutura aprimorada incluem:

    • Os fluxos de capacidade que incluem somente componentes de nível de negócio sem nenhuma lógica específica de implementação.
    • Os fluxos de capacidade agora aceitam uma ampla matriz de entradas e formatos para máxima flexibilidade (por exemplo, referências observáveis, referências de IC, tarefas, qualquer combinação de tabela ou sys_id).
    • A limitação de taxa ou limitação nas execuções de integração agora é fácil de configurar (eliminando a necessidade de fazer isso usando código personalizado ou mudanças nos fluxos de trabalho de implementação).
    • As capacidades aprimoradas de acompanhamento de execução e auditoria agora permitem relatórios melhores e resolução de problemas mais fácil.
    • Funções robustas de tratamento de erros são integradas aos fluxos de capacidade para evitar a duplicação de rotinas de implementação.
    • Capacidade de configurar o acionamento condicional das capacidades ou das integrações. Isso fornece flexibilidade para iniciar automações automaticamente com base na categoria de incidente.
    • Uma condição de filtro padrão foi introduzida em todos os recursos para filtrar Permitir observáveis listados antes que as entradas sejam fornecidas para as integrações.
    Nota:
    Esta nova estrutura de capacidade não faz upgrade da estrutura de capacidade atual. Ambos os frameworks podem funcionar em paralelo. Para obter instruções sobre como aproveitar a nova estrutura de capacidades, consulte Usando a nova Estrutura de capacidade com uma integração instalada e. Usando a nova Estrutura de capacidade com um fluxo.

    Integrações e componentes compatíveis

    O plug-in Resposta a incidentes de segurança inclui todos os fluxos de capacidade listados na Estrutura de capacidades de integração 2,0 e filtros de alto nível padrão que você pode habilitar ou desabilitar dependendo de seus requisitos.

    Nota:
    Se você quiser usar a nova Estrutura de integração de capacidades com a versão de Nova York, você deve instalar o plug-in Instalador do pacote de iniciação ServiceNow IntegrationHub. Entre em contato com o Suporte ao cliente para obter assistência com a instalação.

    Versões de aplicações compatíveis

    A partir da Resposta a incidentes de segurança 10,0, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Integração de análise híbrida de operações de segurança 10.0.0
    Integração do PhishTank de operações de segurança 10.0.0
    Integração ThreatCrowd de operações de segurança 10.0.0
    Integração de Inteligência CrowdStrike de Operações de segurança 10.0.0
    "Fui pwned?" Operações de segurança Integração 10.0.0
    Integração com Metadager de operações de segurança 10.0.0
    Integração futura registrada de operações de segurança 10.0.0
    Integração total do VirusTotal de operações de segurança 10.0.0
    Integração WHOIS reversa de operações de segurança 10.0.0
    A partir da Resposta a incidentes de segurança 10,4, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Integração do RiskIQ de operações de segurança 10.0.0
    Integração do Shodan de operações de segurança 10.0.0
    Integração do WHOIS de operações de segurança 10.0.0
    Integração de negro de fumo de operações de segurança 10.3.1
    Integração de pesquisa Splunk de operações de segurança 10.3.0
    Integração do ArcSight Logger 10.3.0
    Integração do McAfee ESM de operações de segurança 10.3.0
    Integração do Elasticsearch de operações de segurança 10.3.0
    Integração com IBM QRadar de Operações de segurança 10.3.1
    Host do Falcon CrowdStrike de operações de segurança 10.3.0

    Componentes incluídos

    A nova Estrutura de integração de capacidades inclui os seguintes componentes:

    • . : Todos os seguintes recursos que existem no produto hoje como fluxos de trabalho foram reprojetados usando Fluxos :
      • Solicitação de bloqueio : Fornece uma maneira de bloquear observáveis associados a um incidente de segurança em um firewall, proxy web ou algum outro ponto de controle. Esta capacidade é usada durante as investigações de resposta do incidente para conter uma ameaça identificada.
      • E-mail Pesquisar e Excluir : Fornece uma maneira de pesquisar um servidor de e-mail durante uma investigação de segurança e, se necessário, excluir e-mails do servidor.
      • Item de configuração aprimorado : Fornece uma maneira geral de enriquecer itens de configuração com informações adicionais de uma variedade de fontes. Esta capacidade é usada durante as investigações de resposta a incidentes para enriquecer os dados associados a um incidente de segurança.
      • Enriqueça o observável : Fornece uma maneira geral de enriquecer observáveis com informações adicionais de uma variedade de fontes. Esta capacidade é usada durante as investigações de resposta do incidente para conter uma ameaça identificada.
      • Ingestão de evento : Fornece uma maneira geral de criar um incidente de segurança mapeando eventos de uma origem de integração para um incidente de segurança.
      • Obter estatísticas de rede : Recupera uma lista de conexões de rede ativas de um endpoint ou host. Essa funcionalidade é usada para enriquecer o incidente durante as investigações.
      • Obter processos em execução : Recupera uma lista de processos em execução de um endpoint ou host. Essa funcionalidade é usada para enriquecer o incidente durante as investigações.
      • Isolar host : Fornece uma maneira de isolar um endpoint ou um host associado a um incidente de segurança. Isolar host é executado em relação a um item de configuração (IC).
      • Publicar na Lista de observação : Fornece uma maneira de adicionar observáveis associados a um incidente de segurança a uma lista de observação que monitora eventos de segurança e gera alertas. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
      • Pesquisa de detecções : Pesquisa vários SIEMs ou outros armazenamentos de log para instâncias de observáveis. Essa capacidade é usada para determinar a presença de IOCs maliciosos em seu ambiente.
      • Pesquisa de ameaças : Realiza pesquisas de inteligência contra ameaças para determinar se um determinado observável está associado a uma ameaça de segurança conhecida. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
    • Novas tabelas :
      • sn_sec_cmn_capability: Capacidade e fluxo que implementa a capacidade.
      • sn_sec_cmn_capability_implementation: O fluxo de implementação real que fornece os serviços da capacidade.
      • sn_sec_cmn_capability_execution: O registro de execução de uma capacidade no tempo de execução.
      • sn_sec_cmn_capability_implementation_execution: O registro de execução de uma implementação de capacidade no tempo de execução.
      • sn_sec_cmn_filter_condition: As condições de filtro que podem ser aplicadas no tempo de execução à capacidade ou a uma implementação de capacidade.
    • Incluir script : CapabilityProcessor: Manipula todo o código de processamento da estrutura.
    • Limite de taxa Capacidade máxima de solicitação simultânea por período: Define quantas integrações podem ser executadas em paralelo.
    • Implementação da capacidade de processo de trabalho agendado : É executado a cada 15 segundos e pode ser desabilitado na página Propriedades de administração de segurança (Incidente de segurança > Administração > Propriedades).
      • Habilita ou desabilita o trabalho agendado, implementações de capacidade de processo: Este trabalho agenda e gerencia automaticamente os fluxos de execução de implementação de capacidade.
      • Habilita ou desabilita pesquisas automatizadas ou aprimoramentos: Configuração que ativa ou desativa o trabalho agendado que executa a pesquisa automatizada de ameaças ou o aprimoramento de observáveis quando observáveis são adicionados a incidentes de segurança na estrutura de capacidade atual.
      • Ativa ou desativa o trabalho agendado, Pesquisar observáveis de incidentes de segurança: Este trabalho agenda automaticamente um trabalho de Pesquisa de ameaças ou Enriquecer observáveis quando observáveis são adicionados a um incidente de segurança.

    Configurações na nova Estrutura de capacidade

    Esta seção descreve as configurações disponíveis na nova estrutura.

    Antes de Iniciar

    Função necessária: sn_si.admin, flow_designer, action_designer

    Procedimento

    1. Navegar até Tudo > Operações de segurança > Integrações > Recursos.
      Nota:
      Versão 10,4: Começando com Resposta a incidentes de segurança 10,4, o nome do menu . foi alterado para Capacidades de integração (fluxos) .
    2. As capacidades disponíveis com o sistema base são exibidas.

      Fluxos de capacidade: Prontos para uso
      Nota:

      Estas são as capacidades fornecidas com o sistema de base. Você pode usar os recursos ou personalizá-los conforme necessário. As etapas a seguir descrevem como configurar uma capacidade e as integrações implementadas para a capacidade.

    3. Clique no link na coluna Nome para configurar uma capacidade.
      O Nome, a Aplicação, a Descrição e o Fluxo que a capacidade implementa são exibidos.
      Fluxos de capacidade: Configure a capacidade
    4. Selecione Ativo para ativar a capacidade.
      • Condições de filtro no nível de capacidade : Quando uma capacidade de integração implementa um fluxo, as condições de filtro associadas ao fluxo serão executadas antes que o fluxo de capacidade seja iniciado. Por exemplo, o recurso Pesquisa de ameaças inclui a condição de Observáveis permitidos de filtro, conforme mostrado acima. Clique no link Nome para editar a condição do filtro.
        Nota:
        Selecione Adicione anotação de trabalho à tarefa caixa de seleção para adicionar anotações de trabalho para incluir informações sobre as condições de filtro usadas.

        Fluxos de capacidade: Configurar capacidade: Editar condição de filtro

        Você pode definir condições de filtro ou um script, ou uma combinação de ambos. No exemplo acima, um script é usado para definir as condições de filtro. Quando o fluxo de capacidade é executado, o script pesquisa observáveis na lista de permissões e os remove da tabela.

        Nota:
        As condições de filtro definidas aqui são aplicáveis a todas as integrações ativas definidas no Implementações de capacidade .
      • Implementações de capacidade : Clique em Implementações de capacidade . As implementações (integrações) que foram configuradas para a capacidade são exibidas. O exemplo abaixo mostra as integrações configuradas para a capacidade de Pesquisa de ameaças:
        Fluxos de capacidade: Pesquisa de ameaças: Implementações de capacidade
    5. Clique no link Nome para exibir a implementação da capacidade.
      O Nome, a Aplicação, a Descrição e o Fluxo que a capacidade implementa são exibidos.
    6. Clique em Ativo caixa de seleção para ativar a capacidade.
      Fluxos de capacidade: Pesquisa de ameaças: Virustotal

      Você pode especificar os seguintes detalhes:

      Tabela 1.
      Nome do campo Descrição
      Ativo Marque esta caixa de seleção para habilitar a desativação desta integração.
      Nota:
      Se você configurar esta integração usando o bloco de integração no Operações de segurança > Integrações > Configurações de integrações, este sinalizador é definido automaticamente como Ativo .
      Ordem Indica a ordem em que as integrações são executadas.
      Recurso A capacidade implementada por esta integração.
      Fluxo O subfluxo que implementa a capacidade.
      Configuração A configuração de integração para esta capacidade.
      Nota:
      Inicialmente, isso é definido para a configuração padrão fornecida com o sistema base. Quando uma integração está configurando usando o bloco de integração no Configurações de integração , este valor é redefinido automaticamente para a nova configuração criada.
      Limite de Taxa Indica o número de integrações que podem ser executadas em tempo de execução (em paralelo ou por unidade de tempo).
      Tamanho das Entradas em Lote O tamanho de entrada do lote para cada execução. Por exemplo, para uma integração de Pesquisa de detecções, você pode agrupar os observáveis em lotes de 50 para que as consultas geradas não se tornem muito grandes. 0 indica que não há limite.
      Período de tempo limite A duração máxima antes que o fluxo de implementação da capacidade seja cancelado. 0 indica que não há período de tempo limite.
      Total de solicitações O número total de solicitações de execução de implementação. Este campo, em conjunto com o campo Período total de solicitações, pode ser usado para limitar o número de solicitações para o serviço. Por exemplo, você pode limitar o número a 4 solicitações por minuto.
      Período de solicitações total O número total de solicitações de execução permitidas por período.
      Limite de novas tentativas O número de novas tentativas permitidas para uma solicitação de execução com falha. Este limite será aplicável se Tente novamente o sinalizador está definido em sua integração para tentar novamente uma solicitação de execução quando uma condição é atendida.

      Por exemplo, uma solicitação de nova tentativa é feita quando você excede o limite de licença para esse serviço por um período ou o serviço está inativo.
      Tente novamente após O período após o qual é feita uma tentativa de repetir uma solicitação de execução com falha.
      Máximo de Solicitações Simultâneas O número máximo de solicitações de execução de implementação simultâneas. 0 indica que não há limite.
      Configurações de Pesquisa de detecções As consultas de pesquisa de detecções padrão que podem ser executadas.
      Clique no link Nome na seção Condições de filtro para configurar as condições definidas para a implementação. Adicione ou exclua condições de filtro, modifique o script se necessário e atualize o registro.
      Fluxos de capacidade: Pesquisa de ameaças: Virustotal: Condição de filtro

    Usando a nova Estrutura de capacidade com uma integração instalada

    Esta seção descreve como usar a nova estrutura de capacidade para uma integração existente.

    Use as etapas abaixo para habilitar uma integração já instalada e configurada (consulte a lista de integrações compatíveis em Integrações e componentes compatíveis) para usar a nova estrutura de capacidade.

    Nota:
    A Estrutura de capacidade de integração 2,0 disponível com a Resposta a incidentes de segurança 10.0.2 oferece suporte a implementações para o. Pesquisa de ameaças e. Enriqueça o observável . As implementações para outras capacidades serão disponibilizadas em uma versão futura.
    Antes de começar
    • Função necessária: sn_si.admin
    • Resposta a incidentes de segurança 10.0.2
    1. Navegar até Operações de segurança > Integrações > Recursos.
    2. Clique em Pesquisa de ameaças capacidade.
    3. Clique na guia Implementação de capacidades.
      Estrutura de capacidade: Nova capacidade
    4. 4. Exiba o registro de implementação de capacidade para a integração de interesse (exemplo: Crowdstrike Falcon Intelligence). . Ativo a coluna deve ter o valor como Falso .
    5. Clique em Nome link para exibir o registro de implementação.
      Estrutura de capacidade: Novo registro de implementação de capacidade
    6. Marque a caixa de seleção Ativo.
    7. Certifique-se de que o registro de implementação esteja apontando para o registro de configuração correto (o nome do bloco da integração em Configurações de Integração > Mostrar configurações (Sim)).
      Estrutura de capacidade: Bloco de configuração
    8. A implementação está habilitada para uso com a nova estrutura.
    Nota:
    Quando instaladas com a Resposta a incidentes de segurança 10.0.2, todas as integrações compatíveis serão habilitadas automaticamente na nova estrutura de capacidade de integração.

    Usando a nova Estrutura de capacidade com um fluxo

    Use as etapas abaixo para criar um fluxo e chamar o subfluxo fornecido pela nova estrutura de capacidade.

    Antes de Iniciar

    As etapas abaixo descrevem como criar um fluxo de amostra e chamar um dos subfluxos fornecidos com a nova estrutura de capacidade.

    Procedimento

    1. Navegar até Tudo > Flow Designer > Designer.
    2. Clique em Novo para criar um novo fluxo e fornecer as informações necessárias para as propriedades.
      Estrutura de capacidade: Criar novo fluxo
      Nota:
      Selecione Usuário do sistema Na lista de seleção Executar como, conforme mostrado na imagem acima.
    3. Selecione uma Condição de gatilho para o fluxo (um gatilho comum é a criação de um registro de incidente de segurança para uma determinada categoria de incidente).
      Estrutura de capacidade: Criar novo fluxo: Gatilho
    4. Na etapa 1 do fluxo, selecione uma ação para obter entradas do incidente de segurança (por exemplo, observáveis).
      Você pode selecionar uma ação nas ações fornecidas com o sistema base com o Spoke comum do Suporte de segurança.

      Estrutura de capacidade: Criar novo fluxo: Ação
    5. Na etapa 2, selecione um subfluxo (por exemplo, Pesquisa de ameaças).
      Estrutura de capacidade: Criar novo fluxo: Subfluxo
    6. Configure o subfluxo selecionado conforme mostrado abaixo:
      Estrutura de capacidade: Criar novo fluxo: Configurar subfluxo
    7. Salve e publique o fluxo.

    Fluxos de capacidade de integração de solução de problemas

    A opção Execuções de capacidade fornece informações detalhadas sobre cada capacidade que foi executada.

    Nota:
    As execuções concluídas são arquivadas após 30 dias.
    1. Navegar até Operações de segurança > Integrações > Execuções de capacidade..

      Estrutura de capacidade: Execuções de capacidade
    2. Clique no link Execuções de capacidade para exibir detalhes adicionais.

    Anotações de trabalho de registro de incidente de segurança

    Quando observáveis são adicionados a um incidente de segurança e a condição de gatilho do fluxo é atendida, os subfluxos Pesquisa de ameaças e Enriquecer observável são iniciados e as seguintes anotações de trabalho são adicionadas ao incidente de segurança:
    • Execução de fluxo iniciada: Integração de operações de segurança - enriquecer observável V1
    • Execução de fluxo concluída: Integração de operações de segurança - enriquecer observável V1
    • Execução de fluxo iniciada: Integração de operações de segurança – Pesquisa de ameaças V1
    • Execução de fluxo concluída: Integração de operações de segurança – Pesquisa de ameaças V1

    Para exibir essas anotações de trabalho, faça login como um usuário com sn_si.admin ou sn_si.analista e. flow_designer e. action_designer funções.

    Navegue até a página de registro de incidente de segurança e clique nessas anotações de trabalho para exibir os detalhes da execução do fluxo.
    Estrutura de capacidade: Incidente de segurança: Anotações de trabalho