Security Operations allgemeine Funktionalität

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Jedes Mal, wenn eines der Plugins für die Security Operations -Hauptanwendungen (Security Incident Response, Vulnerability Response, Threat Intelligenceoder Configuration Compliance) aktiviert wird, wird das Plugin Security Support Common aktiviert. Dieses Plugin lädt verschiedene Module, die eine Funktionalität bereitstellen, die allen Security Operations -Anwendungen gemeinsam ist.

    Hinweis:
    Nur Benutzer mit der Rolle [sn_sec_cmn.admin] können das Modul Security Operations ] anzeigen und verwenden. Diese Rolle wird geerbt, wenn Ihnen in einer der Security Operations -Anwendungen eine Administratorrolle zugewiesen wird.

    Security Operations-Module

    Funktion Beschreibung
    Referenzen zur Integration mit Security Operations, Threat Intelligence-Integrationen, Vulnerability Response-Integrationen In den Anwendungen [] sind mehrere Integrationen enthalten ( Security OperationsSecurity Incident Response, Threat Intelligenceund Vulnerability Response). Dieser Abschnitt enthält Anweisungen zum Aktivieren der -Plugins und zum Konfigurieren von ServiceNow und Drittanbieterintegrationen. Außerdem enthalten sind einige grundlegende Richtlinien für die Entwicklung eigener Integrationen sowie Details zu bestimmten im Basissystem enthaltenen Integrationen.
    Security Operations E-Mail-Verarbeitung Mit E-Mail-Verarbeitungkönnen Sie die Integration von Informationen aus externen Erkennungssystemen einrichten, Granularität bei der Verarbeitung von Security Operations-Datensätzen bereitstellen, nicht abgeglichene E-Mails verarbeiten und die Duplizierung von Datensätzen verhindern.
    Gruppen
    • Filtergruppen

      Erstellen und verwenden Sie Filtergruppen, um Datensätze aus einer beliebigen Tabelle in Ihrer -Instanz zu finden. Sie können beispielsweise eine Gruppe mit allen Computern desselben Herstellers erstellen. Sie können auch Configuration Items (CIs) filtern, die ähnliche Schwachstellen aufweisen oder in einen bestimmten IP-Adressbereich für das Subnetz fallen.

    • Eskalationen

      Sie können einen Eskalationspfad für Security Incidents für Probleme erstellen, die mehr Aufmerksamkeit oder Fachkenntnisse erfordern. Sobald eine Eskalationsgruppe vorhanden ist, wird für jeden Security Incident in dieser Gruppe eine Schaltfläche angezeigt.
    Sicherheits-Tags

    Tags: Sicherheits-Tag-Regeln bieten Filterung für den Zugriff auf Sicherheits-Tags.
    Workflows
    • Sicherheitsworkflows anzeigen

      Sie können die vielen Workflows anzeigen, die in den Security Operations-Anwendungen enthalten sind. Sie können Workflows aus Vorlagen und im Workflow-Editor erstellen.

    • Workflow-Auslöser

      Security Operations Workflow-Auslöser enthalten eine Bedingung in einer Tabelle. Alle an den Workflow-Auslöserdatensatz angehängten Workflows werden ausgeführt, wenn die Bedingung erfüllt ist.
    Dienstprogramme
    • Ergänzungsdatenzuordnung

      Ergänzungsdatenzuordnung wandelt Daten aus XML-, JSON- oder Eigenschaften -Dateien in ServiceNow -Datensätze um. Security Operations -Workflows verwenden Ergänzungsdatenzuordnungen und stellen Ausgabedaten für Security Incidents bereit.

    • Feldwertumwandlungen

      Wandelt eindeutige Kundenfeldwerte in Feldwerte um, die von der E-Mail-Analyse von Security Operations, Datenanreicherung oder Tabellen mithilfe von Feldzuordnungen erkannt werden. Unterstützt Auswahlfelder, Referenzen und richtet externe Daten an der Standardterminologie und dem Standardformat für Ihren neuen Datensatz aus.

    • Feldzuordnung

      Security Operations -Tabellen können anderen Tabellen zugeordnet werden, und verknüpfen so einen Security Incident mit einem Kundenservicefall oder ein Problem mit anderen Teilen des Security Operations -Systems. Sie können beispielsweise ein -Plugin in eine Security Incident Response -Aufgabe integrieren.

    • Orchestration bei Bedarf

      Während der Analyse von Security Incident Response möchte ein Sicherheitsanalyst möglicherweise eine Aufgabe ausführen, die von einem Security Incident-Workflow gesteuert wird. Führen Sie beispielsweise eine Prozesssicherung für ein bestimmtes CI aus. Dies kann mit bedarfsgesteuerter Orchestrierung erreicht werden.

    • Betriebssystemgruppen

      N/V

    • SecOps-Applikationsregistrierung

      N/V
    CMDB

    CI-Bezeichnerregeln: CI-Bezeichner sind Regeln, die zum Suchen eines Configuration Items (CI) in der CMDB verwendet werden, die übereinstimmende Informationen aus einer Drittanbieterintegration enthalten. Diese Regeln definieren die Felder, die übereinstimmende Daten enthalten, und die Rangfolge, nach der sie ausgewertet werden. Der niedrigste Reihenfolgenwert wird zuerst ausgewertet.