Versionshinweise zu Security Incident Response
Die Anwendung ServiceNow® Security Incident Response (SIR) hilft Ihrer Organisation, Sicherheits- und IT-Teams zu vernetzen, schneller und effizienter auf Bedrohungen zu reagieren und die Sicherheitslage Ihrer Organisation anzuzeigen. Security Incident Response wurde im Release Washington DC ] erweitert und aktualisiert.
Highlights von Security Incident Response für Release Washington DC
- Führen Sie Telefonkonferenzen mit Teammitgliedern, Kunden und anderen Stakeholdern durch, um Kundenprobleme zu lösen.
- Erfassen Sie MTTR-Informationen (durchschnittliche Zeit bis zur Reparatur) durch Verwendung und Definition von Metriken für Security Incidents.
- Überwachen Sie Scan-Anforderungen, und melden Sie Security Incidents als Risikoereignisse an das Risikomanagement-Team aus Arbeitsbereich für Security Incident Response.
- Erstellen Sie direkt in Arbeitsbereich für Security Incident Responseeinen Kundenservicefall für den Security Incident, der vom Customer Service Management (CSM)-Team nachverfolgt wird.
- VirusTotal Die -Integration bietet eine Option zum Senden von URLs als Hashes für die Bedrohungssuche, um die Privatsphäre der Benutzer bei der Integration zu schützen.
Wichtig:
Security Incident Response ist im ServiceNow Store verfügbar. Weitere Informationen finden Sie im Abschnitt „Aktivierungsinformationen“ dieser Versionshinweise.
Neu im Washington DC-Release
- Major Security Incident Management
- Arbeiten Sie mit Ihren Kunden und Peer-Service Desk-Mitarbeitern über eine Telefonkonferenz zusammen, um Kundenprobleme über Microsoft Teams, Zoomoder Webexzu lösen. Sie können auch Chats, Aufzeichnungen und Teilnehmerinformationen nach dem Anruf erfassen.
- Flow-based Playbooks
- Flow Designererleichtert den Übergang von manuellen oder undokumentierten Playbooks zu automatisierten und wiederholbaren Playbooks. Security Incident Response unterstützt jetzt die folgenden neuen Playbooks:
- Playbook for Office 365 - Malicious File Detected
- Playbook for Repeat Detection
- Playbook for Spoofed Emails (using the same Display name)
- Playbook for Endpoint Detection
- Playbook for Possible Password Spray
- Playbook for T1003 - Detect Credential Dumping Tools
- Playbook for Email Domain Spoofing Detection
- Playbook for Typo Squatted Domain
- Playbook for Credential Sniffing
- Playbook for T1070 - Windows Events Logs Cleared
- Playbook for OSquery of External Address in /etc/hosts file
- Playbook for User Deleting Bash History - Cloud
- Playbook for Successful VPN Attempts from the Service Accounts - Corp/Cloud
- Playbook for Attempted Access to Deactivated Accounts
- Playbook for T1003 - Defense Evasion - Mimikatz DCShadow
- Playbook for T1003 - Credential Dumping - Mimikatz DCSync
- Playbook for Okta User Login Failures from Multiple IPs
- Playbook for ModSec Brute force by IP Burst
- Manage post incident activities
- Security Incident Response unterstützt jetzt die folgenden Funktionen:
- Verwendungs- und Definitionsmetriken für Security Incidents zur Erfassung der MTTR (durchschnittliche Zeit bis zur Reparatur).
- Aktivieren oder deaktivieren Sie die PIR-Berichterstellung (Post Incident Review) für untergeordnete Security Incidents.
- Security Incident Response Workspace
- Sie können jetzt die folgenden Aufgaben in Arbeitsbereich für Security Incident Responseausführen:
- Überwachen Sie Scan-Anforderungen
- Melden Sie Security Incidents als Risikoereignis, das vom Risikomanagement-Team nachverfolgt wird
- Erstellen Sie einen Kundenservicefall für den Security Incident, der vom Customer Service Management (CSM)-Team nachverfolgt wird
- Activate and configure the VirusTotal integration
- Senden Sie URLs als Hashes für die Bedrohungssuche, um die Privatsphäre der Benutzer bei der Integration zu schützen.
Änderungen in diesem Release
- Microsoft Azure Sentinel-Integration
-
- Alle neuen oder aktualisierten Änderungen, die in Microsoft Azure Sentinel vorgenommen werden, aktualisieren automatisch die entsprechenden SIR-Incident-Daten, während die Felder Microsoft Azure Sentinel zugeordnet werden. Weitere Informationen finden Sie unter Map the Microsoft Azure Sentinel incident fields.
- Rufen Sie alle offenen und geschlossenen Azure Sentinel-Incidents für einen Zeitraum von bis zu 6 Monaten ab. Weitere Informationen finden Sie unter Schedule the Microsoft Azure Sentinel incident retrieval.
Abschreibungen
ServiceNow® Security Incident Response unterstützt die folgenden Integrationen nicht mehr:
- Recorded Future
- Trusted Security Circles
Weitere Informationen zu diesen veralteten Elementen finden Sie im Artikel Deprecation Process [KB0867184] (Veraltungsprozess) in der Knowledge Base von Now Support.
Aktivierungsinformationen
Installieren Sie Security Incident Response, indem Sie es von ServiceNow Store anfordern. Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.