Security Operations allgemeine Funktionalität

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Immer wenn eines der Plugins für die Hauptanwendungen von Security Operations (Security Incident Response, Vulnerability Response, Threat Intelligenceoder Configuration Compliance) aktiviert wird, wird das Plugin Security Support Common aktiviert. Dieses Plugin lädt verschiedene Module, die Funktionen bereitstellen, die allen Security Operations -Anwendungen gemeinsam sind.

    Hinweis:
    Nur Benutzer mit [sn_sec_cmn.admin] können das Modul Security Operations ] anzeigen und verwenden. Diese Rolle wird geerbt, wenn Ihnen eine Administratorrolle in einer der Anwendungen von Security Operations zugewiesen wird.

    Security Operations-Module

    Funktion Beschreibung
    Referenzen zur Integration mit Security Operations, Threat Intelligence-Integrationen, Vulnerability Response-Integrationen Mehrere Integrationen sind in den Security Operations -Anwendungen enthalten (Security Incident Response, Threat Intelligenceund Vulnerability Response). Dieser Abschnitt enthält Anweisungen zum Aktivieren der Plugins und zum Konfigurieren von ServiceNow und Integrationen von Drittanbietern. Außerdem sind einige grundlegende Richtlinien für die Entwicklung eigener Integrationen sowie Details zu bestimmten Integrationen enthalten, die im Basissystem enthalten sind.
    Security Operations E-Mail-Verarbeitung Sie können die Integration von Informationen aus externen Erkennungssystemen einrichten, Granularität bei der Verarbeitung von Datensätzen zu Sicherheitsvorgängen bereitstellen, nicht abgeglichene E-Mails behandeln und die Duplizierung von Datensätzen mit E-Mail-Verarbeitungverhindern.
    Gruppen
    • Filtergruppen

      Erstellen und verwenden Sie Filtergruppen, um Datensätze aus einer beliebigen Tabelle in Ihrer Instanz zu suchen. Sie können beispielsweise eine Gruppe aller Computer desselben Herstellers erstellen. Sie können auch Konfigurationselemente (CIs) filtern, die ähnliche Schwachstellen aufweisen oder in einen bestimmten Subnetz-IP-Adressbereich fallen.

    • Eskalationen

      Sie können einen Eskalationspfad für Security Incidents für Probleme erstellen, die mehr Aufmerksamkeit oder Fachkenntnisse erfordern. Sobald eine Eskalationsgruppe vorhanden ist, wird für jeden Security Incident in dieser Gruppe eine Schaltfläche angezeigt.
    Sicherheits-Tags

    Tags: Sicherheits-Tag-Regeln bieten Filterung für den Zugriff auf Sicherheits-Tags.
    Workflows
    • Sicherheitsworkflows anzeigen

      Sie können die vielen Workflows anzeigen, die in den Security Operations-Anwendungen enthalten sind. Sie können Workflows aus Vorlagen und im Workflow-Editor erstellen.

    • Workflow-Auslöser

      Security Operations Workflow-Auslöser enthalten eine Bedingung für eine Tabelle. Alle an den Workflow-Auslöserdatensatz angehängten Workflows werden ausgeführt, wenn die Bedingung erfüllt ist.
    Dienstprogramme
    • Ergänzungsdatenzuordnung

      Ergänzungsdatenzuordnung wandelt Daten aus XML-, JSON- oder Eigenschaften -Dateien in ServiceNow -Datensätze um. Security Operations -Workflows verwenden Ergänzungsdatenzuordnungen und stellen Ausgabedaten für Security Incidents bereit.

    • Feldwertumwandlungen

      Wandelt eindeutige Kundenfeldwerte in Feldwerte um, die von Security Operations E-Mail-Analyse, Datenanreicherung oder Tabellen mithilfe von Feldzuordnungen erkannt werden. Unterstützt Auswahlfelder, Referenzen und richtet externe Daten in der Standardterminologie und im Standardformat für Ihren neuen Datensatz aus.

    • Feldzuordnung

      Security Operations -Tabellen können anderen Tabellen zugeordnet werden und aus anderen Tabellen, wodurch ein Security Incident mit einem Kundenservicefall oder ein Problem mit anderen Teilen des Security Operations -Systems verknüpft wird. Sie können beispielsweise ein Plugin in eine Security Incident Response -Aufgabe integrieren.

    • Orchestration bei Bedarf

      Während der Analyse Security Incident Response möchte ein Sicherheitsanalyst möglicherweise eine Aufgabe ausführen, die von einem Security Incident-Workflow gesteuert wird. Führen Sie beispielsweise eine Prozesssicherung für ein bestimmtes CI aus. Dies kann mit On-Demand-Orchestration erreicht werden.

    • Betriebssystemgruppen

      N/V

    • SecOps-Applikationsregistrierung

      N/V
    CMDB

    CI-Bezeichnerregeln: CI-Bezeichner sind Regeln, die zum Suchen eines Konfigurationselements (CI) in der CMDB verwendet werden, das übereinstimmende Informationen aus einer Drittanbieterintegration enthält. Diese Regeln definieren die Felder, die übereinstimmende Daten enthalten, und die Rangfolge, nach der sie ausgewertet werden. Der niedrigste Wert für die Reihenfolge wird zuerst ausgewertet.