Integrations Capabilities Framework 2.0

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:15分

    • 新しい Integration Capabilities Framework 2.0 は、シンプルで一貫した方法で統合を実装できるように再設計されました。これにより、類似のタイプの統合 (例:観測事象の評判のルックアップ) で一貫したエクスペリエンスが保証されます。

    新しいフレームワークには、フローを使用して実装される機能があります。

    拡張フレームワークの実装によるメリットは次のとおりです。

    • 実装固有のロジックのないビジネスレベルのコンポーネントのみを含む機能フロー
    • 柔軟性を最大限に高めるために、機能フローでさまざまな入力と形式を使用できるようになりました (例:観測事象参照、CI 参照、タスク、任意のテーブルまたは sys_id の組み合わせ)。
    • 統合実行のレート制限またはスロットリングが簡単に構成できるようになりました (カスタムコードまたは実装ワークフローの変更を使用して、この操作を実行する必要はありません)。
    • 拡張された監査および実行トラッキング機能により、レポートの質が向上し、トラブルシューティングが容易になりました。
    • 実装ルーチンの重複を避けるために、高度なエラー処理関数が機能フローに組み込まれています。
    • 機能または統合の条件付きトリガーを設定する機能。これにより、インシデントカテゴリに基づいて自動化を柔軟に自動起動できます。
    • 統合に入力する前に、許可リストに入れられた観測事象をフィルタリングするデフォルトのフィルター条件がすべての機能に導入されました。
    注:
    この新しい機能フレームワークは、現在の機能フレームワークをアップグレードするものではありません。両方のフレームワークは並行して機能します。新しい機能フレームワークを活用する方法については、「インストールされた統合での新しい機能フレームワークの使用」および「新しい機能フレームワークとフローの使用」を参照してください。

    サポートされる統合とコンポーネント

    セキュリティインシデントレスポンスプラグインには、Integration Capabilities Framework 2.0 に記載されているすべての機能フローと、要件に応じて有効または無効にできる標準の高レベルのフィルターが含まれています。

    注:
    New York リリースで新しい機能統合フレームワークを使用する場合は、ServiceNow 統合ハブスターターパックインストーラープラグインをインストールする必要があります。インストールのサポートについては、カスタマーサポートにお問い合わせください。

    サポートされているアプリケーションのバージョン

    セキュリティインシデントレスポンス 10.0 以降では、次の統合がサポートされています。
    アプリケーション 最低限必要なバージョン
    Security Operations Hybrid Analysis 統合 10.0.0
    Security Operations PhishTank 統合 10.0.0
    Security Operations ThreatCrowd Integration 10.0.0
    Security Operations CrowdStrike Intelligence Integration 10.0.0
    Security Operations 'Have I been pwned?' Integration 10.0.0
    Security Operations Metadefender Integration 10.0.0
    Security Operations Recorded Future Integration 10.0.0
    Security Operations VirusTotal Integration 10.0.0
    Security Operations Reverse WhoIs Integration 10.0.0
    セキュリティインシデントレスポンス 10.4 以降では、次の統合がサポートされています。
    アプリケーション 最低限必要なバージョン
    Security Operations RiskIQ 統合 10.0.0
    Security Operations Shodan Integration 10.0.0
    Security Operations WhoIs Integration 10.0.0
    Security Operations Carbon Black Integration 10.3.1
    Security Operations Splunk Search Integration 10.3.0
    Security Operations ArcSight Logger Integration 10.3.0
    Security Operations McAfee ESM Integration 10.3.0
    Security Operations Elasticsearch Integration 10.3.0
    Security Operations IBM QRadar Integration 10.3.1
    Security Operations CrowdStrike Falcon Host 10.3.0

    含まれるコンポーネント

    新しい機能統合フレームワークには、次のコンポーネントが含まれています。

    • 機能:現在の製品にワークフローとして存在する次のすべての機能は、フローを使用して再設計されています。
      • ブロック要求:ファイアウォール、Web プロキシ、またはその他のコントロールポイントにおけるセキュリティインシデントに関連する観測事象をブロックするための方法を提供します。 この機能は、インシデント応答の調査中に、識別された脅威を封じ込めるために使用されます。
      • メールの検索と削除:セキュリティ調査時にメールサーバーを検索し、必要に応じてサーバーからメールを削除する方法を提供します。
      • 構成アイテムを拡張:さまざまなソースからの追加情報で構成アイテムを拡張する一般的な方法を提供します。この機能は、インシデント応答の調査中に、セキュリティインシデントに関連するデータを拡張するために使用されます。
      • 観測事象を拡張:さまざまなソースからの追加情報で観測事象を拡張する一般的な方法を提供します。この機能は、インシデント応答の調査中に、識別された脅威を封じ込めるために使用されます。
      • イベントの取り込み:統合ソースからセキュリティインシデントにイベントをマッピングしてセキュリティインシデントを作成する一般的な方法を提供します。
      • ネットワーク統計情報を取得:エンドポイントまたはホストから、アクティブなネットワーク接続のリストを取得します。この機能は、調査中にインシデントの拡張に使用されます。
      • 実行中のプロセスを取得:エンドポイントまたはホストから、実行中のプロセスのリストを取得します。この機能は、調査中にインシデントの拡張に使用されます。
      • ホスト隔離:セキュリティインシデントに関連するエンドポイントまたはホストを隔離する方法を提供します。ホスト隔離は構成アイテム (CI) に対して実行されます。
      • ウォッチリストに公開:セキュリティインシデントに関連付けられた観測事象を、セキュリティイベントを監視してアラートを生成するウォッチリストに追加する方法を提供します。この機能は、調査中にインシデント応答の一部として使用されます。
      • サイティング検索:さまざまな SIEM または他のログストアで観測事象のインスタンスを検索します。この機能は、環境に悪意のある IoC が存在するかどうかを判断するために使用されます。
      • 脅威のルックアップ:脅威インテリジェンスルックアップを実行して、特定の観測事象が既知のセキュリティ上の脅威に関連するかどうかを判断します。この機能は、調査中にインシデント応答の一部として使用されます。
    • 新しいテーブル
      • sn_sec_cmn_capability:機能とその機能を実装するフロー。
      • sn_sec_cmn_capability_implementation:機能のサービスを提供する実際の実装フロー。
      • sn_sec_cmn_capability_execution:実行時の機能の実行レコード。
      • sn_sec_cmn_capability_implementation_execution:実行時の機能実装の実行レコード。
      • sn_sec_cmn_filter_condition:実行時に機能または機能実装に適用できるフィルター条件。
    • インクルードスクリプト:CapabilityProcessor:フレームワークのすべての処理コードを処理します。
    • レート制限:[期間あたりの機能の最大同時要求数 (Capability Max Concurrent Req Per Period)]:並行実行できる統合の数を定義します。
    • スケジュール済みジョブプロセス機能の実装:15 秒ごとに実行され、セキュリティ管理の [プロパティ] ページ (セキュリティインシデント > アドミニストレーション > プロパティ.
      • スケジュール済みジョブのプロセス機能実装の有効化または無効化:このジョブは、機能実装の実行フローを自動的にスケジュールおよび管理します。
      • 自動ルックアップまたは拡張の有効化または無効化:現在の機能フレームワークでセキュリティインシデントに観測事象が追加されたときに、自動脅威ルックアップまたは観測事象の拡張を実行するスケジュール済みジョブを有効または無効にする設定。
      • スケジュール済みジョブのセキュリティインシデント観測事象のルックアップの有効化または無効化:このジョブは、セキュリティインシデントに観測事象が追加された場合に、「脅威のルックアップ」または「観測事象を拡張」ジョブを自動的にスケジュールします。

    新しい機能フレームワーク内の構成

    このセクションでは、新しいフレームワークで利用可能な構成について説明します。

    始める前に

    必要なロール:sn_si.admin、flow_designer、action_designer

    手順

    1. 移動先 すべて > セキュリティオペレーション > 統合 > 機能.
      注:
      バージョン 10.4:セキュリティインシデントレスポンス 10.4 以降、[機能] というメニュー名は [統合機能 (フロー)] に変更されました。
    2. ベースシステムで利用可能な機能が表示されます。

      機能フロー:すぐに利用可能
      注:

      これらはベースシステムで提供される機能です。機能を使用することも、必要に応じてカスタマイズすることもできます。次の手順では、機能および機能に実装された統合の設定方法について説明します。

    3. [名前] 列のリンクをクリックして機能を設定します。
      [名前]、[アプリケーション]、[説明]、および機能が実装する [フロー] が表示されます。
      機能フロー:機能の設定
    4. [アクティブ] チェックボックスを選択して、機能をアクティブ化します。
      • 機能レベルのフィルター条件:統合機能がフローを実装すると、機能フローの起動前に、フローに関連付けられたフィルター条件が実行されます。たとえば、脅威のルックアップ機能には、上に示すように [許可リストに追加された観測事象をフィルター] 条件が含まれています。[名前] リンクをクリックしてフィルター条件を編集します。
        注:
        [タスクに作業メモを追加] チェックボックスを選択して、使用するフィルター条件に関する情報を含む作業メモを追加します。

        機能フロー:機能の設定:フィルター条件の編集

        フィルター条件またはスクリプト、あるいはその両方の組み合わせを定義できます。上記の例では、スクリプトを使用してフィルター条件を定義しています。機能フローが実行されると、スクリプトは許可リストに追加された観測事象を検索し、それらをテーブルから削除します。

        注:
        ここで設定したフィルター条件は、[機能実装] タブで定義されたすべてのアクティブな統合に適用されます。
      • 機能実装[機能実装] タブをクリックします。機能に対して構成された実装 (統合) が表示されます。次の例は、脅威のルックアップ機能に対して構成された統合を示しています。
        機能フロー:脅威のルックアップ:機能実装
    5. [名前] リンクをクリックして機能実装を表示します。
      [名前]、[アプリケーション]、[説明]、および機能が実装する [フロー] が表示されます。
    6. [アクティブ] チェックボックスをクリックして、機能をアクティブ化します。
      機能フロー:脅威のルックアップ:VirusTotal

      次の詳細を指定できます。

      表 : 1.
      フィールド名 説明
      有効 この統合を有効/無効にするには、このチェックボックスを選択します。
      注:
      の統合タイルを使用してこの統合を構成する場合 セキュリティオペレーション > 統合 > 統合構成ページでは、このフラグは自動的に [アクティブ] に設定されます。
      順序 統合が実行される順序を示します。
      機能 この統合によって実装される機能。
      フロー 機能を実装するサブフロー。
      構成 この機能の統合構成。
      注:
      これは、最初はベースシステムで提供されるデフォルト構成に設定されます。[統合構成] ページの統合タイルを使用して統合を構成すると、この値は作成された新しい構成に自動的にリセットされます。
      レート制限 実行時に実行できる (並列または時間単位あたりの) 統合の数を示します。
      バッチ入力サイズ 各実行のバッチ入力サイズ。たとえば、サイティング検索統合の場合、生成されるクエリが大きくなりすぎないように、観測事象を 50 のバッチにグループ化することができます。ゼロは制限がないことを示します。
      タイムアウト期間 機能実装フローがキャンセルされるまでの最大期間。ゼロはタイムアウト期間がないことを示します。
      要求合計 実装実行要求の合計数。このフィールドを [合計要件期間] フィールドとともに使用して、サービスへの要求数を制限できます。たとえば、この数を 1 分あたり 4 件の要求に制限できます。
      合計要件期間 期間あたりの許可される実行要求の合計数。
      再試行制限 失敗した実行要求に許可される再試行回数。この制限は、条件が満たされたときに実行要求を再試行するように統合で [再試行] フラグが設定されている場合に適用されます。

      たとえば、一定期間そのサービスのライセンス制限を超えた場合、またはサービスがダウンしている場合に、再試行要求が行われます。
      後で再試行 失敗した実行要求の再試行が試みられるまでの期間。
      最大同時要求 同時実装実行要求の最大数。ゼロは制限がないことを示します。
      サイティング検索構成 実行できるデフォルトのサイティング検索クエリ。
      [フィルター条件] セクションの [名前] リンクをクリックして、実装に定義された条件を設定します。フィルター条件を追加または削除し、必要に応じてスクリプトを変更して、レコードを更新します。
      機能フロー:脅威のルックアップ:VirusTotal:フィルター条件

    インストールされた統合での新しい機能フレームワークの使用

    このセクションでは、既存の統合に新しい機能フレームワークを使用する方法について説明します。

    以下の手順を使用して、既にインストールおよび構成されている統合 (「サポートされる統合とコンポーネント」のサポートされている統合のリストを参照) で新しい機能フレームワークを使用できるようにします。

    注:
    セキュリティインシデントレスポンス 10.0.2 で利用可能な Integration Capability Framework 2.0 は、[脅威のルックアップ] および [観測事象を拡張] 機能の実装をサポートしています。他の機能の実装は将来のリリースで利用可能になる予定です。
    事前準備
    • 必要なロール:sn_si.admin
    • セキュリティインシデントレスポンス 10.0.2
    1. 移動先 セキュリティオペレーション > 統合 > 機能.
    2. [脅威のルックアップ] 機能をクリックします。
    3. [機能実装] タブをクリックします。
      機能フレームワーク:新機能
    4. 4. 対象の統合の機能実装レコードを表示します (例:Crowdstrike Falcon Intelligence)。[アクティブ] 列の値は [False] である必要があります。
    5. [名前] リンクをクリックして実装レコードを表示します。
      機能フレームワーク:新機能実装レコード
    6. [Active (有効)] チェックボックスをオンにします。
    7. 実装レコードが正しい設定レコード (統合のためのタイル名) を指していることを確認します 統合構成 > 設定を表示 (はい)) を開きます。
      機能フレームワーク:構成タイル
    8. 実装は、新しいフレームワークで使用できます。
    注:
    セキュリティインシデントレスポンス 10.0.2 とともにインストールされている場合、サポートされているすべての統合は、新しい統合機能フレームワークで自動的に有効になります。

    新しい機能フレームワークとフローの使用

    以下の手順を使用してフローを作成し、新しい機能フレームワークによって提供されるサブフローを呼び出します。

    始める前に

    次の手順では、サンプルフローを作成し、新しい機能フレームワークによって提供されるサブフローのいずれかを呼び出す方法を説明します。

    手順

    1. 移動先 すべて > フローデザイナー > デザイナー.
    2. [新規] をクリックして新しいフローを作成し、プロパティに必要な情報を入力します。
      機能フレームワーク:新しいフローの作成
      注:
      上の画像に示すように、[実行方法] 選択リストで [システムユーザー] を選択します。
    3. フローのトリガー条件を選択します (一般的なトリガーは、特定のインシデントカテゴリのセキュリティインシデントレコードの作成です)。
      機能フレームワーク:新しいフローの作成:トリガー
    4. フローのステップ 1 で、セキュリティインシデントから入力を取得するアクション (観測事象など) を選択します。
      Security Support Common スポークを使用して、ベースシステムで提供されるアクションからアクションを選択できます。

      機能フレームワーク:新しいフローの作成:アクション
    5. ステップ 2 で、サブフロー (脅威のルックアップなど) を選択します。
      機能フレームワーク:新しいフローの作成:サブフロー
    6. 選択したサブフローを以下に示すように設定します。
      機能フレームワーク:新しいフローの作成:サブフローの設定
    7. フローを保存して公開します。

    統合機能フローのトラブルシューティング

    [機能実行] オプションは、実行された各機能に関する詳細情報を提供します。

    注:
    完了した実行は 30 日後にアーカイブされます。
    1. 移動先 セキュリティオペレーション > 統合 > 機能実行。.

      機能フレームワーク:機能実行
    2. [機能実行] のリンクをクリックして追加の詳細を表示します。

    セキュリティインシデントレコードの作業メモ

    観測事象がセキュリティインシデントに追加され、フローのトリガー条件が満たされると、「脅威のルックアップ」および「観測事象を拡張」サブフローが開始され、次の作業メモがセキュリティインシデントに追加されます。
    • フロー実行が開始されました:Security Operations Integration - 観測事象 V1 を拡張
    • フロー実行が完了しました:Security Operations Integration - 観測事象 V1 を拡張
    • フロー実行が開始されました:Security Operations Integration – 脅威のルックアップ V1
    • フロー実行が完了しました:Security Operations Integration – 脅威のルックアップ V1

    これらの作業メモを表示するには、sn_si.admin または sn_si.analystflow_designer、および action_designer ロールを持つユーザーとしてログインします。

    セキュリティインシデントレコードページに移動し、これらの作業メモをクリックしてフロー実行の詳細を表示します。
    機能フレームワーク:セキュリティインシデント:作業メモ