Integração Resposta a incidentes de segurança - Gestão de eventos

Os recursos do Gestão de eventos a aplicação foi expandida para oferecer suporte a Resposta a incidentes de segurança. . Resposta a incidentes de segurança Gestão de eventos o plug-in de suporte analisa automaticamente o conteúdo de eventos em Gestão de eventos para preencher campos em incidentes de segurança.

Criação de eventos de segurança no Gestão de eventos Sistema de Informações de segurança e. Gestão de eventos(SIEM)

• Funcionalidade de gestão de eventos - correlação de eventos, regras de evento e regras de alerta
• Mapeamento automático de valores additional_information para o incidente de segurança resultante

Recursos:

Documentação de suporte da Gestão de eventos de incidentes de segurança

Documentação da Gestão de eventos

Resposta a incidentes de segurança - Integração da API do conjunto de importação

Além de usar Gestão de eventos para enviar eventos relacionados à segurança por push, o Resposta a incidentes de segurança A aplicação fornece uma API de conjunto de importação que permite a criação direta de incidentes de segurança. O endpoint REST do Conjunto de importação de incidentes de segurança é http://localhost:8080/api/now/import/sn_si_incident_import.

Esta técnica de integração é útil quando a) Gestão de eventos Não está instalado, ou b) É desejável simplesmente criar Incidentes de segurança sem passar pelo fluxo Evento > ALERT > Incidente de segurança necessário ao usar Gestão de eventos.

Criação de incidentes de segurança diretamente de ferramentas SIEM.

Correspondência automática de IC na criação de incidente de segurança com base em IP, NetBIOS ou nome de domínio totalmente qualificado.

Recursos:

Documentação da API do conjunto de importação da plataforma

Integração de origem de pesquisa - Inteligência contra ameaças

As fontes de pesquisa fornecem a capacidade de enviar dados para fontes de pesquisa externas para determinar se esses dados são mal-intencionados. Esses dados são um endereço IP, URL, arquivo ou hash de arquivo.

PESQUISE um endereço IP, URL, arquivo ou hash com um serviço de pesquisa externo.

Recursos úteis fornecidos:

• Maneira consistente de solicitar pesquisas de itens do catálogo e incidentes de segurança.
• Limitação de taxa e recursos de limitação fornecidos com pouca/nenhuma codificação.
• Criação automática de entradas observáveis de indicadores de comprometimento (IOC) para quaisquer problemas encontrados por fontes de pesquisa.

Inteligência contra ameaças - Integração de origem da ameaça

As origens de ameaça fornecem a capacidade de extrair dados de repositórios externos de inteligência contra ameaças. Esses dados são importados para os vários indicadores de tabelas de comprometimento existentes no sistema. Coleções TAXII e blocklists simples são compatíveis nativamente. Para adicionar novas coleções TAXII (ou perfis baseados em um serviço de descoberta ou gestão de coleções), basta adicionar uma entrada. Da mesma forma, adicionar uma nova lista de bloqueios simples de coluna única é uma questão de inserir um novo registro e fornecer a URL da lista de bloqueios. Para conjuntos de dados mais complicados, uma integração personalizada pode ser fornecida para fazer uma chamada para um URL e analisar a resposta.

Recupere dados de uma fonte de inteligência contra ameaças para carregar nas tabelas IOC.

Recursos úteis fornecidos:

• Suporte para blocklists simples e coleções TAXII sem codificação.
• Mecanismo simples para executar mensagens REST para recuperar dados.
• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processar dados de passagem retornados para fontes de dados (e conjuntos de importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes

Recursos:

Defina uma origem de ameaça

Vulnerability Response - Integração de invocação do scanner

A invocação do verificador de vulnerabilidades é um ponto de entrada de integração leve que oferece suporte à invocação de verificações de vulnerabilidade da instância. Um verificador de vulnerabilidades de terceiros é chamado de forma assíncrona para programar uma verificação de itens de configuração ou endereços IP.

Faça uma solicitação ao scanner de terceiros para verificar um IC (usando informações de host derivadas de IC) ou endereço IP/endereços IP.

Recursos úteis fornecidos:

• Estrutura simples para definir implementações de scanner.
• Maneira consistente de solicitar verificações de itens do catálogo, incidentes de segurança e itens vulneráveis.
• Atualização automática de tarefas com resultado da invocação de verificação.

Vulnerability Response - integração de dados

As integrações de dados de vulnerabilidade destinam-se a recuperar dados de vulnerabilidade de sistemas de vulnerabilidade de terceiros. As saídas esperadas dessas integrações são entradas de vulnerabilidade e itens vulneráveis. Esta integração permite que os scanners de vulnerabilidades de terceiros funcionem de forma independente, com a expectativa de que as vulnerabilidades possam ser trabalhadas e rastreadas na instância.

Casos de uso cobertos:

• Recupere bibliotecas de vulnerabilidades
• Recupere emparelhamentos de vulnerabilidade/IC
• Sincronizar ICs com o sistema de gestão de vulnerabilidades

• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processar dados de passagem retornados para fontes de dados (e conjuntos de importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes.

Recursos:

Documentação de integração de dados de vulnerabilidade