제공된 통합 유형 ServiceNow
애플리케이션(, , 및 취약성 대응)을 보안 운영 다른 ServiceNow 애플리케이션과보안 인시던트 응답 완벽하게 통합하여 기능을 향상시킬 수 있습니다. 위협 인텔리전스
기본 시스템에서는 보안 운영 다음과 같은 통합이 제공됩니다.
Security Incident Response – 이벤트 관리 통합
애플리케이션의 이벤트 관리 기능은 를 지원 보안 인시던트 응답하도록 확장되었습니다. 지원 플러그인은 보안 인시던트 응답 이벤트 관리 이벤트 이벤트 관리 내용을 자동으로 구문 분석하여 보안 인시던트의 필드를 채웁니다.
다루는 사용 사례:보안 정보 및 이벤트 관리 SIEM(보안 정보) 도구에서 시스템의 보안 이벤트 이벤트 관리 생성
유용한 기능은 다음과 같습니다.- Event Management 기능 – 이벤트 상관 관계, 이벤트 규칙 및 경보 규칙
- 결과 보안 인시던트에 additional_information 값 자동 매핑
리소스:
보안 인시던트 응답 - 임포트 세트 API 통합
보안 관련 이벤트를 푸시하는 데 사용하는 이벤트 관리 것 외에도 애플리케이션은 보안 인시던트 응답 보안 인시던트를 직접 생성할 수 있는 임포트 세트 API를 제공합니다. 보안 인시던트 임포트 세트에 대한 REST 엔드포인트가 http://localhost:8080/api/now/import/sn_si_incident_import.
이 통합 기술은 a) 이벤트 관리 설치되지 않았거나 b) 사용할 때 이벤트 관리필요한 이벤트 > 경보 > 보안 인시던트 플로우를 거치지 않고 보안 인시던트를 생성하려는 경우에 유용합니다.
다루는 사용 사례:SIEM 도구에서 직접 보안 인시던트를 생성합니다.
유용한 기능은 다음과 같습니다.IP, NetBIOS 또는 정규화된 도메인 이름을 기반으로 보안 인시던트 생성 시 자동 CI 일치.
리소스:
보안 인시던트 웹 서비스 임포트 세트 설명서Threat Intelligence - 소스 통합 조회
조회 소스는 데이터를 외부 조회 소스로 보내 해당 데이터가 악성인지 여부를 확인하는 기능을 제공합니다. 일반적으로 해당 데이터는 IP 주소, URL, 파일 또는 파일 해시입니다.
다루는 사용 사례:외부 조회 서비스를 사용하여 IP 주소, URL, 파일 또는 해시를 조회합니다.
유용한 기능은 다음과 같습니다.
- 카탈로그 항목 및 보안 인시던트에서 일관된 방식으로 조회를 요청합니다.
- 코딩이 거의 또는 전혀 없이 속도 제한 및 제한 기능이 제공됩니다.
- 조회 소스에서 발견한 문제에 대한 IoC(침해 표시기) 옵저버블 항목을 자동으로 생성합니다.
Threat Intelligence - 위협 소스 통합
위협 소스는 외부 위협 인텔리전스 리포지토리에서 데이터를 가져올 수 있는 기능을 제공합니다. 그런 다음 이 데이터는 시스템 내에 있는 다양한 침해 표시기 테이블로 임포트됩니다. TAXII 수집 및 단순 차단 목록은 기본적으로 지원됩니다. 새 TAXII 컬렉션(또는 검색 또는 컬렉션 관리 서비스를 기반으로 하는 프로파일)을 추가하는 방법은 항목을 추가하는 것만큼 간단합니다. 마찬가지로 새 간단한 단일 열 차단 목록을 추가하는 것은 새 레코드를 입력하고 차단 목록의 URL을 제공하는 문제입니다. 더 복잡한 데이터 세트의 경우 URL을 호출하고 응답을 구문 분석하는 사용자 지정 통합을 제공할 수 있습니다.
다루는 사용 사례:위협 인텔리전스 소스에서 데이터를 검색하여 IoC 테이블에 로드합니다.
유용한 기능은 다음과 같습니다.
- 코딩 없이 간단한 차단 목록 및 TAXII 수집을 지원합니다.
- 데이터 검색을 위한 REST 메시지를 실행하기 위한 간단한 메커니즘입니다.
- 통합 구성요소 재사용성을 위해 분리된 데이터 검색/처리입니다.
- 데이터 소스(및 임포트 세트/변환 맵)로 반환된 데이터 전달 처리를 위한 기본 지원.
- 후속 호출에 컨텍스트를 전달할 수 있는 기능으로 통합당 여러 데이터 요청(페이지 매김된 호출의 경우)을 지원합니다.
리소스:
취약성 대응 - 스캐너 호출 통합
취약성 스캐너 발동은 인스턴스에서 취약성 스캔 호출을 지원하는 간략한 통합 엔트리포인트입니다. 구성 항목 또는 IP 주소에 대한 검사를 예약하기 위해 외부 공급업체 취약성 스캐너가 비동기적으로 호출됩니다.
다루는 사용 사례:외부 공급업체 스캐너에 CI(CI에서 파생된 호스트 정보 사용) 또는 IP 주소/IP 주소를 스캔하도록 요청합니다.
유용한 기능은 다음과 같습니다.
- 스캐너 구현을 정의하기 위한 간단한 프레임워크입니다.
- 카탈로그 항목, 보안 인시던트 및 취약한 항목에서 검사를 요청하는 일관된 방법입니다.
- 스캔 발동 결과에 따른 작업 자동 업데이트.
Vulnerability Response - 데이터 통합
취약성 데이터 통합은 타사 취약성 시스템에서 취약성 데이터를 검색하기 위한 것입니다. 이러한 통합에서 예상되는 출력은 취약성 항목과 취약한 항목입니다. 이러한 통합을 통해 외부 공급업체 취약성 스캐너가 독립적으로 기능할 수 있으며, 인스턴스 내에서 취약성을 작업하고 추적할 수 있습니다.
다루는 사용 사례:
- 취약성 라이브러리 검색
- 취약성/CI 페어링 검색
- 취약성 관리 시스템과 CI 동기화
- 통합 구성요소 재사용성을 위해 분리된 데이터 검색/처리입니다.
- 데이터 소스(및 임포트 세트/변환 맵)로 반환된 데이터 전달 처리를 위한 기본 지원.
- 후속 호출에 컨텍스트를 전달할 수 있는 기능을 통해 통합당 여러 데이터 요청(페이지 매김된 호출의 경우)을 지원합니다.
리소스: