제공되는 통합 유형 ServiceNow

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 응용 프로그램(보안 인시던트 응답, 위협 인텔리전스, Vulnerability Response및 )을 Security Operations 다른 ServiceNow 응용 프로그램과 원활하게 통합하여 기능을 향상시킬 수 있습니다.

    기본 시스템에는 다음과 같은 통합이 Security Operations 제공됩니다.

    Security Incident Response – Event Management 통합

    응용 프로그램의 기능이 이벤트 관리 를 지원 보안 인시던트 응답하도록 확장되었습니다. 지원 플러그인은 보안 인시던트 응답 이벤트 관리 이벤트 이벤트 관리 컨텐츠를 자동으로 구문 분석하여 보안 인시던트의 필드를 채웁니다.

    다루는 사용 사례:

    보안 정보 및 이벤트 관리 SIEM() 도구에서 시스템의 보안 이벤트 이벤트 관리 만들기

    유용한 기능은 다음과 같습니다.
    • Event Management 기능 – 이벤트 상관관계, 이벤트 규칙 및 경보 규칙
    • additional_information 값을 결과로 표시되는 보안 인시던트에 자동으로 매핑

    리소스:

    보안 인시던트 Event Management 지원 설명서

    Event Management 설명서

    Security Incident Response - 임포트 세트 API 통합

    보안 관련 이벤트를 푸시하는 데 사용하는 이벤트 관리 것 외에도 애플리케이션은 보안 인시던트 응답 보안 인시던트를 직접 생성할 수 있는 임포트 세트 API를 제공합니다. 보안 인시던트 임포트 세트에 대한 REST 엔드포인트가 http://localhost:8080/api/now/import/sn_si_incident_import.

    이 통합 기술은 a) 이벤트 관리 설치되지 않았거나, b) 사용할 때 이벤트 관리필요한 이벤트 > 경보 > 보안 인시던트 플로우를 거치지 않고 보안 인시던트를 생성하려는 경우에 유용합니다.

    다루는 사용 사례:

    SIEM 도구에서 직접 보안 인시던트 생성

    유용한 기능은 다음과 같습니다.

    IP, NetBIOS 또는 전체 주소 도메인 이름을 기반으로 보안 인시던트 작성 시 자동 CI 매칭.

    리소스:

    플랫폼 임포트 세트 API 문서

    보안 인시던트 웹 서비스 임포트 세트 설명서

    Threat Intelligence - 조회 소스 통합

    조회 원본은 데이터를 외부 조회 원본으로 보내 해당 데이터가 악성인지 여부를 확인할 수 있는 기능을 제공합니다. 일반적으로 해당 데이터는 IP 주소, URL, 파일 또는 파일 해시입니다.

    다루는 사용 사례:

    외부 조회 서비스를 사용하여 IP 주소, URL, 파일 또는 해시를 조회합니다.

    유용한 기능은 다음과 같습니다.

    • 카탈로그 항목 및 보안 인시던트에서 일관된 방식으로 조회를 요청합니다.
    • 속도 제한 및 제한 기능은 코딩이 거의 또는 전혀 제공되지 않습니다.
    • 조회 소스에서 발견한 문제에 대해 IoC(영향 표시기) 옵저버블 항목을 자동으로 생성합니다.

    Threat Intelligence - 위협 소스 통합

    위협 소스는 외부 위협 인텔리전스 리포지토리에서 데이터를 가져오는 기능을 제공합니다. 그런 다음 이 데이터는 시스템 내에 있는 다양한 영향 표시기 테이블로 임포트됩니다. TAXII 수집 및 단순 차단 목록은 기본적으로 지원됩니다. 새 TAXII 컬렉션(또는 검색 또는 컬렉션 관리 서비스를 기반으로 하는 프로필)을 추가하려면 항목을 추가하는 것만큼 간단합니다. 마찬가지로, 새로운 간단한 단일 열 차단 목록을 추가하는 것은 새 레코드를 입력하고 차단 목록의 URL을 제공하는 문제입니다. 더 복잡한 데이터 세트의 경우 URL을 호출하고 응답을 구문 분석하기 위해 사용자 지정 통합을 제공할 수 있습니다.

    다루는 사용 사례:

    위협 인텔리전스 소스에서 데이터를 검색하여 IoC 테이블에 로드합니다.

    유용한 기능은 다음과 같습니다.

    • 코딩 없이 간단한 차단 목록 및 TAXII 컬렉션을 지원합니다.
    • 데이터 검색을 위해 REST 메시지를 실행하는 간단한 메커니즘입니다.
    • 통합 구성요소 재사용 가능성을 위해 분리된 데이터 검색/처리.
    • 데이터 소스(및 임포트 세트/변환 맵)로 반환된 데이터 전달 처리를 위한 기본 지원.
    • 후속 호출에 컨텍스트를 전달할 수 있는 기능으로 통합당 여러 데이터 요청(페이지 매김된 호출의 경우)을 지원합니다.

    리소스:

    위협 소스 정의

    Vulnerability Response - 스캐너 발동 통합

    취약성 스캐너 발동은 인스턴스에서 취약성 스캔 호출을 지원하는 간단한 통합 엔트리포인트입니다. 외부 공급업체 취약성 스캐너는 구성 항목 또는 IP 주소에 대한 스캔을 예약하기 위해 비동기적으로 호출됩니다.

    다루는 사용 사례:

    외부 공급업체 스캐너에 CI(CI에서 파생된 호스트 정보 사용) 또는 IP 주소/IP 주소를 스캔하도록 요청합니다.

    유용한 기능은 다음과 같습니다.

    • 스캐너 구현을 정의하기 위한 간단한 프레임워크입니다.
    • 카탈로그 항목, 보안 인시던트 및 취약한 항목에서 스캔을 요청하는 일관된 방법
    • 스캔 발동 결과로 작업 자동 업데이트.

    Vulnerability Response - 데이터 통합

    취약성 데이터 통합은 타사 취약성 시스템에서 취약성 데이터를 검색하기 위한 것입니다. 이러한 통합에서 예상되는 출력은 취약성 항목 및 취약한 항목입니다. 이 통합을 통해 외부 공급업체 취약성 스캐너가 독립적으로 작동할 수 있으며, 인스턴스 내에서 취약성을 작업하고 추적할 수 있습니다.

    다루는 사용 사례:

    • 취약성 라이브러리 검색
    • 취약성/CI 페어링 검색
    • 취약성 관리 시스템과 CI 동기화
    유용한 기능은 다음과 같습니다.
    • 통합 구성요소 재사용 가능성을 위해 분리된 데이터 검색/처리.
    • 데이터 소스(및 임포트 세트/변환 맵)로 반환된 데이터 전달 처리를 위한 기본 지원.
    • 후속 호출에 컨텍스트를 전달할 수 있는 기능을 사용하여 통합당 여러 데이터 요청(페이지 매김된 호출의 경우)을 지원합니다.

    리소스:

    취약성 데이터 통합 문서