Componentes instalados com Resposta a incidentes de segurança
Vários tipos de componentes são instalados com o download e a ativação da aplicação Resposta a incidentes de segurança, incluindo funções de usuário, tabelas, propriedades e trabalhos agendados.
Nota:
A tabela Arquivos de aplicações lista os componentes que são instalados com esta aplicação. Para obter instruções sobre como acessar esta tabela, consulte Encontrar componentes instalados com uma aplicação.
Dados de demonstração estão disponíveis para este recurso.
Propriedades instaladas
Usuários com a função de administrador do sistema [admin] podem exibir as propriedades. Usuários com a função de administrador de segurança [sn_si.admin] podem modificá-las.
| Propriedade | Uso |
|---|---|
| Os nós de categoria padrão que são exibidos na guia Gráfico de relacionamento no Espaço. Os valores padrão representam os nomes das tabelas correspondentes aos registros relacionados. sn_si_aw.defaultCategories |
|
| Hora de início padrão para todos os agentes quando nenhuma programação estiver definida, no formato 8:00 sn_si.default.start.time |
|
| Hora de término padrão para todos os agentes quando nenhuma programação estiver definida, no formato 17:00 sn_si.default.end.time |
|
| Incluir observáveis do tipo de destino junto com outros observáveis de tipo de contexto no usuário de incidentes de segurança e relacionamentos de IC sn_si.link_dest_ip |
Determina se um observável de incidente de segurança com um tipo de contexto de Destino é exibido nas guias Itens de configuração ou Usuários afetados. Por padrão, os observáveis com um tipo de contexto de destino são excluídos. Para incluir os observáveis, escolha Sim. |
| Permitir personalização ao criar um Problema ou uma Solicitação de mudança com base em um Incidente de segurança sn_si.popup |
Quando um problema ou uma mudança são criados, esta propriedade abre uma janela pop-up para modificar a solicitação. Se essas propriedades estiverem definidas como falso , o problema ou a solicitação de mudança tem a mesma prioridade, descrição resumida e descrição do incidente de segurança sem a opção de adicionar ou editar esses campos.
|
| Associe resultados de pesquisa de detecções a ICs no CMDB. sn_si.associate_ci_with_sighting_search |
Quando definido como verdadeiro, os resultados da pesquisa de vistas incluem itens de configuração associados que estão no seu CMDB.
|
| A pontuação de risco no intervalo é realçada em verde, no formato 0 - 49 sn_si.risk.score.green |
Na lista Incidentes de segurança, os incidentes de segurança com uma pontuação de risco entre 0 e 49 são marcados com um ponto verde. |
| A pontuação de risco no intervalo é realçada em laranja, no formato 50 a 79 sn_si.risk.score.orange |
Na lista Incidentes de segurança, os incidentes de segurança com uma pontuação de risco entre 50 e 79 são marcados com um ponto laranja. |
| A pontuação de risco no intervalo é realçada em vermelho, no formato 80 a 100 sn_si.risk.score.red |
Na lista Incidentes de segurança, os incidentes de segurança com uma pontuação de risco entre 80 e 100 são marcados com um ponto vermelho. |
| Este parâmetro ativa ou desativa as configurações de pesquisa de detecções que têm esse recurso implementado. sn_si.enable_sighting_search |
Quando definido como verdadeiro, as pesquisas de detecções podem ser realizadas em integrações ativadas.
|
| O número de linhas de dados brutos é salvo quando for realizada uma pesquisa de detecções. Intervalo de 0 a 100 sn_si.sighting_search_raw_data_rows |
Esta propriedade tem como padrão 50 linhas de dados brutos. Metade das linhas de resultados são relatadas a partir do início do intervalo de tempo de pesquisa e metade a partir do final do intervalo de tempo de pesquisa. Portanto, se você selecionar 50 linhas, 25 virão do início do intervalo de tempo de pesquisa e 25 do fim do intervalo de tempo de pesquisa. |
| Avançar automaticamente o Estado do Incidente para Conter quando uma Tarefa de Resposta avançar para Trabalho em Andamento sn_si.rollup_task_state |
Ao usar fluxos ou fluxos de trabalho, considere definir esta propriedade como falso. Isso permite que você controle o Estado do incidente de dentro de fluxos ou fluxos de trabalho. Também ajuda a evitar possíveis conflitos durante a transição de um estado de incidente para outro.
|
| Propriedades de atribuição do Security Incident Response | |
| Peso do local sn_si.location.weight |
Uma classificação usada ao calcular os critérios a serem usados para atribuir automaticamente um analista de segurança. Se, por exemplo, o local for considerado para uma tarefa, o valor do peso do local será adicionado à classificação do analista de segurança.
|
| Peso das Habilidades sn_si.skills.weight |
Uma classificação usada ao calcular os critérios a serem usados para atribuir automaticamente um analista de segurança. Se, por exemplo, habilidades forem consideradas para uma tarefa, o valor do peso das habilidades será adicionado à classificação do analista de segurança.
|
| Definir o número máximo de analistas de segurança a serem processados pela atribuição automática de uma vez sn_si.max.agents.processed |
O sistema tem um limite absoluto de 300 analistas de segurança. Se você especificar mais de 300, ele definirá o valor para esse nível. O sistema não pode expedir automaticamente uma tarefa para um grupo de expedição que contém mais analistas de segurança do que o valor configurado.
|
| Peso do Fuso horário sn_si.timezone.weight |
Uma classificação usada ao calcular os critérios a serem usados para atribuir automaticamente um analista de segurança. Se, por exemplo, o fuso horário do analista de segurança for considerado para uma tarefa, o valor do peso do fuso horário será adicionado à classificação do analista de segurança.
|
| Quantidade de tempo (em minutos) para adicionar entre o final de uma tarefa e o início da próxima viagem. sn_si.work.spacing |
Um exemplo de valor de tempo válido é 10.
|
Campos de diário especificados que contenham marcadores de código que renderizem o conteúdo como HTML.sn_si.journal_field.html_enabled |
|
| Calcule os serviços afetados em segundo plano. sn_si.refresh_impacted.event |
A lista relacionada Serviços afetados/ICs afetados é gerada por meio de eventos. Quando habilitada, a atualização é executada em segundo plano e marcadores de segurança são adicionados ao incidente. Defina o valor como verdadeiro para executar a operação em segundo plano.
|
| Recupere o serviço crítico de dados pré-calculados. sn_si.critical_service.calculator.use_cache |
Permite que a calculadora de serviço crítico use dados pré-calculados de itens de configuração. Defina o valor como verdadeiro para pesquisar a partir de dados pré-calculados
|
Funções instaladas
| Título da função [nome] | Descrição | Contém as funções |
|---|---|---|
| Administrador de incidentes de segurança [sn_si.admin] |
Controle total sobre todos os dados de Resposta a incidentes de segurança. Também gerencia territórios e habilidades, conforme necessário. Nota: No sistema de base, o administrador também tem acesso a sn_si.admin. Resposta a incidentes de segurança pode ser restringido pelo administrador, desde que pelo menos outro usuário tenha a função de administrador de segurança atribuída. |
|
| Administrador de perfil [sn_si.ingestion_profile_admin] |
Configure os plug-ins, crie, edite, exclua e gerencie perfis para a aplicação Splunk, Splunk ES e Azure Sentinel Integration for Security Operations. Nota: Usuários com a função sn_si.admin podem executar todas as operações disponíveis para um administrador de perfil, já que a função sn_si.admin herda as permissões necessárias por padrão. A função sn_si.ingestion_profile_admin é atribuível aos usuários pelo sn_si.admin. |
N/D |
| Analista de incidentes de segurança [sn_si.analyst] |
Gerenciar incidentes de segurança. Função subjacente para acesso de segurança básico. Usuários com esta função podem criar e atualizar incidentes de segurança, solicitações e tarefas, bem como problemas, mudanças e indisponibilidades relacionadas a seus incidentes. |
|
| Incidente de segurança básico [sn_si.basic] |
Função subjacente para acesso de segurança básico. Usuários com esta função podem criar e atualizar incidentes de segurança, solicitações e tarefas, bem como problemas, mudanças e indisponibilidades relacionadas a seus incidentes. |
|
| Diretoria de segurança da informação (CISO) [sn_si.ciso] |
Exibir e manipular o painel do CISO. Além disso, se o plug-in Resposta a vulnerabilidades estiver ativado, os usuários com esta função poderão adicionar mapas de árvore de definição de significância de vulnerabilidade ao painel. Você também pode fazer o mesmo com Resposta a incidentes de segurança plug-in. |
|
| Incidente de segurança externo [sn_si.external] |
Exiba todos os incidentes de segurança que pertencem ao grupo específico. Nota: As duas regras a seguir são aplicáveis em ServiceNow independentemente do administrador com escopo ou do app do escopo.
|
service_fulfiller |
| Usuário de integração de incidente de segurança [sn_si.integration_user] |
Ferramentas externas podem fornecer novos registros de incidentes de segurança e atualizar registros de incidentes de segurança. | import_transformer |
| Administrador de conhecimento do incidente de segurança [sn_si.knowledge_admin] |
Gerencie, atualize e exclua as informações na base de conhecimento do Incidente de Segurança. |
|
| Gerente de incidenets de segurança [sn_si.manager] |
Mesmo acesso que os analistas de segurança. |
|
| Leitura de incidente de segurança [sn_si.read] |
Ler incidentes de segurança. |
|
| Gerenciador de acesso de restrição de segurança [sn_si.restriction_access_manager] | Permite que usuários ou grupos "imponham restrições" em incidentes de segurança. Aplicável somente para mudança de campo. | N/D |
| Acesso especial a incidentes de segurança sn_si.special_access |
Fornece acesso a incidentes de segurança específicos para usuários fora da organização do Security Operations. | N/D |
| Ativador de acesso especial de segurança [sn_si.special_access_enabler] | Fornece função de acesso especial a um usuário fora da organização Operações de segurança a incidentes de segurança específicos. | N/D |
| Gerenciador de leitura de acesso especial de incidente de segurança [sn_si.special_access_read_manager] | Gerencie a função Acesso especial a incidentes de segurança [sn_si.special_access]. Use esta função para modificar o. Acesso de leitura campo no formulário de incidente de segurança. Esta função pode ser atribuída por sn_si.admin. | sn_si.special_access_enabler |
| Gerenciador do gravador de acesso especial a incidentes de segurança [sn_si.special_access_write_manager] | Gerencie a função Acesso especial a incidentes de segurança [sn_si.special_access]. Use esta função para modificar o. Acesso privilegiado campo no formulário de incidente de segurança. Esta função pode ser atribuída por sn_si.admin. | sn_si.special_access_enabler |
Trabalhos agendados instalados
| Trabalho agendado | Descrição |
|---|---|
| Pesquisar observáveis de incidente de segurança | Executa uma pesquisa de observáveis em uma programação definida pelo usuário. |
Tabelas instaladas
| Tabela | Descrição |
|---|---|
| Configuração do Feed de Notícias [sn_si_feed_configuration] |
Registros de configuração usados para definir o conteúdo exibido no feed de notícias de incidentes de segurança. |
| Regra de Atribuição de Análise Pós-incidente [sn_si_pir_condition] |
Automatiza a seleção de participantes de uma pesquisa de revisão pós-incidente quando um incidente de segurança é encerrado. |
| Incidente de Segurança [sn_si_incident] |
Armazena um incidente de segurança, as respostas ao incidente, todas as tarefas vinculadas, mudanças, problemas e incidentes relacionados a este incidente de segurança. |
| Vetores de Ataque do Incidente de Segurança [sn_si_attack_vector] |
Opções de vetor de ataque. |
| Log de Auditoria de Incidentes de Segurança [sn_si_audit_log] |
Armazena logs de auditoria de aprimoramento de incidentes de segurança. |
| Calculadora de Incidentes de Segurança [sn_si_calculator] |
Uma calculadora para definir determinados campos de incidente de segurança quando certas condições são atendidas. |
| Grupo de Calculadoras de Incidentes de Segurança [sn_si_calculator_group] |
Um agrupamento de calculadoras de incidente de segurança. A ordem do grupo de calculadoras determina qual grupo é avaliado primeiro e, em cada grupo, uma calculadora é usada no máximo. |
| Firewall de aprimoramento de incidente de segurança [sn_si_enrichment_firewall] |
Estende a partir da tabela base (sn_sec_cmn_enrichment_data_base) e inclui todos os registros de aprimoramento específicos do Firewall da Palo Alto Networks. |
| Resultados de malware de aprimoramento de incidente de segurança [sn_si_enrichment_malware] |
Estende a partir da tabela base (sn_sec_cmn_enrichment_data_base) e inclui todos os registros de aprimoramento específicos do malware. |
| Estatísticas de Rede de Aprimoramento de Incidente de Segurança [sn_si_enrichment_network_statistics] |
Estende a partir da tabela base (sn_sec_cmn_enrichment_data_base) e inclui todos os registros de aprimoramento específicos das estatísticas de rede. |
| Processos em execução de Aprimoramento de Incidente de Segurança [sn_si_enrichment_running _processes] |
Estende a partir da tabela base (sn_sec_cmn_enrichment_data_base) e inclui todos os registros de aprimoramento específicos para processos em execução. |
| Serviços de Execução de Aprimoramento de Incidente de Segurança [sn_si_enrichment_running_service] |
Estende a partir da tabela base (sn_sec_cmn_enrichment_data_base) e inclui todos os registros de aprimoramento específicos para serviços em execução. |
| Pesquisa de E-mail de Incidente de Segurança [sn_si_m2m_incident_email_search] |
Mapeia registros de pesquisa de e-mail para incidentes de segurança. |
| Importação de incidentes de segurança [sn_si_incident_import] |
Tabela de importação para incidentes de segurança. Usado para criar incidentes de segurança a partir de sistemas externos. |
| Definição do Processo de Incidentes de Segurança [sn_si_process_definition] |
Armazena a configuração dos fluxos do processo de incidente de segurança. |
| Seletor de Definição do Processo de Incidentes de Segurança [sn_si_process_definition_selector] |
Armazena a definição do processo de incidente de segurança a ser usada para incidentes de segurança. |
| Caso do Atendimento ao cliente relacionado ao incidente de segurança [sn_si_m2m_incident_customerservice_case] |
Mapeia casos de atendimento ao cliente e incidentes de segurança |
| Dados de aprimoramento relacionados ao Incidente de Segurança [sn_si_m2m_incident_enrichment] |
Mapeia incidentes de segurança e registros de dados de aprimoramento relacionados. |
| Tarefa Resposta a incidentes de segurança [sn_si_task] |
Gerencia subtarefas relacionadas à manipulação de um incidente de segurança. Essas tarefas podem ser atribuídas ao pessoal de segurança ou a pessoas em outros departamentos, para gerenciar a comunicação entre departamentos e o acompanhamento de tarefas. |
| Modelo de tarefas Resposta a incidentes de segurança [sn_si_task_template] |
Usado para criar uma tarefa Resposta a incidentes de segurança. Esses modelos geralmente são usados em entradas do catálogo para criar automaticamente um conjunto de subtarefas apropriadas para um tipo específico de incidente de segurança. |
| Documento de runbook de incidente de segurança [sn_si_runbook_document] |
Associa condições ou filtros de incidente de segurança a um artigo de conhecimento. Usado para especificar procedimentos de runbook para correção de incidente de segurança. |
| Modelo de Incidente de Segurança [sn_si_incident_template] |
Usado para criar um incidente de segurança. Esses modelos geralmente são usados em entradas do catálogo para criar um incidente de segurança pré-criado. |
| Requisição de Segurança [sn_si_request] |
Uma solicitação relacionada à segurança para a equipe de segurança. |
| Solicitação de Verificação de Segurança [sn_si_scan_request] |
Uma solicitação de pesquisa de ameaças. |
| Calculadora de Gravidade sn_si_severity_calculator |
Define os valores de severidade, impacto, risco e criticalidade de um incidente de segurança. |
| Usuário Afetado pela Tarefa [sn_si_m2m_task_affected_user] |
Uma tabela muitos para muitos que associa incidentes de segurança aos usuários afetados. |
| Avaliador de Resultado de Atividade de Fluxo de Trabalho de Modelo [sn_si_wf_activity_outcome_evaluator] |
Mapeia um recurso com um script de avaliação. Um novo subfluxo pode ser adicionado a um fluxo de trabalho de modelo para definir um resultado de tarefa de resposta em vez de ter um analista para defini-lo manualmente. |