セキュリティインシデントレスポンスリリースノート
ServiceNow® セキュリティインシデントレスポンス (SIR) アプリケーションは、セキュリティチームと IT チームの連携、脅威に対する迅速かつ効率的な対応、会社のセキュリティ体制の確認に役立ちます。セキュリティインシデントレスポンス は Washington DC リリースで拡張および更新されました。
Washington DC リリースでの セキュリティインシデントレスポンス の特長
- 顧客の問題を解決するために、チームメンバー、顧客、およびその他の利害関係者を含む電話会議を行います。
- セキュリティインシデントの使用状況と定義の測定基準を使用して MTTR (平均修理時間) 情報をキャプチャします。
- スキャン要求を監視し、からセキュリティインシデントをリスクイベントとして Risk Management チーム セキュリティインシデントレスポンスワークスペースに報告します。
- からセキュリティインシデントのカスタマーサービスケースを直接 セキュリティインシデントレスポンスワークスペース作成します。これは、Customer Service Management (CSM) チームによって追跡されます。
- VirusTotal 統合には、脅威のルックアップのハッシュとして URL を送信するオプションが提供され、統合時のユーザーのプライバシーが保護されます。
重要:
セキュリティインシデントレスポンス は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。
Washington DC リリースの新機能
- Major Security Incident Management
- 電話会議を通じて顧客やピアエージェントとコラボレーションし、、Zoomまたは Webexを使用して顧客の問題を解決Microsoft Teamsします。通話後のチャット、録音、参加者情報をキャプチャすることもできます。
- Flow-based Playbooks
- を使用して、手動または文書化されていない Playbook から、自動化された反復可能な Playbook に簡単に移行できます。 では、次の新しい Playbook フローデザイナーがサポートされるようになりました。 セキュリティインシデントレスポンス
- Playbook for Office 365 - Malicious File Detected
- Playbook for Repeat Detection
- Playbook for Spoofed Emails (using the same Display name)
- Playbook for Endpoint Detection
- Playbook for Possible Password Spray
- Playbook for T1003 - Detect Credential Dumping Tools
- Playbook for Email Domain Spoofing Detection
- Playbook for Typo Squatted Domain
- Playbook for Credential Sniffing
- Playbook for T1070 - Windows Events Logs Cleared
- Playbook for OSquery of External Address in /etc/hosts file
- Playbook for User Deleting Bash History - Cloud
- Playbook for Successful VPN Attempts from the Service Accounts - Corp/Cloud
- Playbook for Attempted Access to Deactivated Accounts
- Playbook for T1003 - Defense Evasion - Mimikatz DCShadow
- Playbook for T1003 - Credential Dumping - Mimikatz DCSync
- Playbook for Okta User Login Failures from Multiple IPs
- Playbook for ModSec Brute force by IP Burst
- セキュリティインシデントレスポンス は次の機能をサポートするようになりました。
- MTTR (平均修理時間) をキャプチャするためのセキュリティインシデントの使用状況と定義の測定基準。
- 子セキュリティインシデントのインシデントの事後レビュー (PIR) レポートの生成を有効または無効にします。
- Security Incident Response Workspace
- これで セキュリティインシデントレスポンスワークスペース、で次のタスクを実行できます。
- スキャン要求の監視
- セキュリティインシデントをリスクイベントとして報告します。リスクイベントはリスク管理チームによって追跡されます
- セキュリティインシデントのカスタマーサービスケースを作成します。このケースは、Customer Service Management (CSM) チームが追跡します
- Activate and configure the VirusTotal integration
- 統合時にユーザーのプライバシーを保護するために、脅威をルックアップするためのハッシュとして URL を送信します。
このリリースでの変更
- Microsoft Azure Sentinel の統合
-
- で Microsoft Azure Sentinel 新規変更または更新された変更を行うと、フィールドのマッピング Microsoft Azure Sentinel 中にそれぞれの SIR インシデントデータが自動的に更新されます。詳細については、「 」を参照してください。
- 最大 6 か月間のオープンおよびクローズ済みのすべての Azure Sentinel インシデントをプルします。詳しくは、「 」を参照してください 。
廃止
ServiceNow® セキュリティインシデントレスポンス では、次の統合はサポートされなくなりました。
- Recorded Future
- Trusted Security Circles
これらの非推奨の詳細については、ナレッジ ベースの非 推奨プロセス [KB0867184] の記事 Now Support を参照してください。
アクティベーション情報
ServiceNow Store から要求することで、セキュリティインシデントレスポンス をインストールします。 ServiceNow Store Web サイトにアクセスして利用可能なすべてのアプリを表示し、ストアにリクエストを送信する方法について確認してください。リリースされたすべてのアプリのリリースノート情報については、「ServiceNow Storeバージョン履歴のリリースノート」を参照してください。