Versionshinweise zu Security Incident Response

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Die ServiceNow® Security Incident Response Die Anwendung hilft Ihrer Organisation, Sicherheits- und IT-Teams zu verbinden, schneller und effizient auf Bedrohungen zu reagieren und die Sicherheitslage Ihrer Organisation anzuzeigen. Security Incident Response Wurde in erweitert und aktualisiert Zurich Release.

    Highlights von Security Incident Response für Release Zurich

    • Schließen Sie mehrere Security Incidents gleichzeitig in einem Security Incident Response Umgebung.
    • Implementierte CrowdStrike Next-Gen SIEM-Integration, die die Echtzeiterfassung korrelierter Erkennungen und Ergänzungsdaten ermöglicht.
    • Verbesserte Splunk es-Integrationen, um die Incident-Klassifizierung zu verbessern und einen effizienten Abruf von Verlaufsdaten und Warnungen zu ermöglichen.
    • Wählen Sie den Schichtnamen aus, wenn Sie den Schichtübergabedatensatz für den Übergang von einer Schicht zur nächsten konfigurieren.
    • Helfen Sie Managern, die Bereitschaftsplanung zu konfigurieren und zu verwenden, um Lücken in der Abdeckung zu vermeiden und sicherzustellen, dass Analysten für die Behandlung von Security Incidents verfügbar sind, indem Sie Schichten für Analysten konfigurieren.
    • Fügen Sie den erkennbaren Elementen Metadaten hinzu, bevor Sie sie an TISC senden.

    Weitere Informationen finden Sie unter Security Incident Response.

    Wichtig:
    Security Incident Response ist im ServiceNow Store verfügbar. Weitere Informationen finden Sie im Abschnitt „Aktivierungsinformationen“ dieser Versionshinweise.

    Neu im Zurich-Release

    Close multiple security incidents
    Schließen Sie Security Incidents in Massen mit vordefinierten Abschlusskommentaren oder -Codes, um die Zeit zu reduzieren, die für das manuelle Schließen einzelner Incidents aufgewendet würde. Abschlusskandidaten können mehrere Incidents mit häufigen Ursachen wie Fehlkonfiguration von Warnungen, Duplikate oder Änderungen am Systemverhalten umfassen.
    Process Mining für Security Incidents
    Identifizieren Sie Faktoren, die zu Verzögerungen bei der Verarbeitung beitragen Security Incident Response(SIR) Incidents, deren Abschluss oder Lösung lange dauert, indem historische SIR-Datensätze durch Process Mining gescannt werden. Zeitaufwändige Faktoren können mehrere Neuzuweisungen, verlängerte Wartezeiten und Zeiträume der Inaktivität umfassen. Verwenden Sie Analysemethoden, um diese Faktoren zu identifizieren, z. B. Multi-Hop-Analyse oder Engpassanalyse.
    Send Observables to TISC
    Fügen Sie den erkennbaren Elementen Metadaten wie Konfidenzpunktzahl, TLP-Wert (Traflight Protocol), Notizen und TISC-Tags hinzu, bevor Sie sie an TISC senden.
    Fügen Sie indirekt verknüpfte Vits zu CVEs hinzu
    In MITRE-ATT&CK Framework, identifizieren Sie alle Drittpartei-Entitäten (TPEs), die allgemeinen Schwachstellen und Risiken (CVEs) zugeordnet sind, und berechnen und zeigen Sie dann die Gesamtzahl der angreifbaren Elemente (Vits) an, die indirekt über die TPEs mit diesen CVEs verknüpft sind, indem Sie festlegen sn_ti.include_cve_vit_indirect_relationSystemeigenschaft.
    Rufbereitschafts-Zeitpläne konfigurieren
    Als Administrator:
    • Erstellen Sie eine Schicht, und weisen Sie der Schicht Mitglieder zu oder entfernen Sie sie.
    • Erstellen/bearbeiten Sie Rufbereitschaftszeitpläne für Gruppen.
    • Zeigen Sie den Rufbereitschaftszeitplan einer beliebigen Gruppe an, einschließlich der Gruppe, zu der sie gehört.

    Als Analyst:

    • Geben Sie Ihre Verfügbarkeit und bevorzugte Kontaktmethoden an.
    • Zeigen Sie Ihren Rufbereitschaftszeitplan und andere Mitglieder Ihrer Schicht an.
    Anwender, die auf denselben Incident zugreifen
    Wenn Sie einen Incident öffnen, werden die Initialen aller Anwender angezeigt, die derzeit auf denselben Incident zugreifen.
    Universelles Suchfeld zum Verknüpfen erkennbarer Elemente
    Verwenden Sie das Suchfeld im Verknüpfte erkennbare Elemente verknüpfen Popup zum Durchsuchen aller Feldwerte der zugeordneten erkennbaren Elemente für einen Incident.
    CrowdStrike Next-Gen SIEM integration
    Als Profiladministrator:
    • Erkennen CrowdStrike Next-Gen SIEM Erkennungen, die Kandidaten für Security Incidents sind und die Erstellung dieser Security Incidents automatisieren.
    • Erstellen Sie Erkennungsprofile.
    • Zuordnung CrowdStrike Next-Gen SIEM Erkennungs- und Ereignisfelder zu SIR Security Incident-Feldern.
    • Filter CrowdStrike Next-Gen SIEM Fehler.
    • Fassen Sie Erkennungen zu vorhandenen offenen Security Incidents zusammen, damit Sie keine doppelten Security Incidents erstellen müssen.
    • Planen Sie die laufende Erkennungserfassung.
    • Automatisieren CrowdStrike Next-Gen SIEM Erkennungsstatus-Updates für Security Incident Response.
    • Synchronisieren CrowdStrike Next-Gen SIEM Erkennungskommentare mit SIR-Arbeitsnotizen.
    Create and name an event profile for the Splunk Enterprise Security event ingestion integration
    • Aktiviert bidirektionale Updates und die Abschlusssynchronisierung zwischen Splunk ES Und Splunk Integrationen.
    • Ermöglicht den Abruf von Verlaufsdaten und laufenden Daten, einschließlich geschlossener Ereignisse, mit der Option, die geschlossenen Ereignisse in die abzurufen ServiceNow Splunk ES Instanz.
    • Erhalten Sie Updates für die zugeordneten Felder in SIR.
    Components installed with Security Incident Response
    Eine neue Profiladministratorrolle (sn_si.ingestion_profile_admin) bietet Zugriff auf die Konfiguration von Plugins und das Erstellen, Bearbeiten, Löschen und Verwalten von Profilen für Splunk, Splunk ES, Und Azure Sentinel Integration for Security Operations-Anwendung.
    Erweiterungen an Beziehungsdiagrammen
    Als Administrator:
    • Definieren Sie untergeordnete Standardknoten, die im Beziehungsdiagramm ausgefüllt werden sollen.
    • Konfigurieren Sie Beziehungsbezeichnungen.
    Als Analyst:
    • Fügen Sie untergeordnete Knoten auf der Ebene des übergeordneten Knotens hinzu oder entfernen Sie sie.
    • Speichern Sie den Status des Beziehungsdiagramms.
    • Rufen Sie aktualisierte Daten ab.

    UI-Änderungen

    Schichtübergabedatensätze
    Die Startdatum Und Enddatum Felder wurden entfernt. Sie können jetzt stattdessen den Schichtnamen auswählen, wenn Sie den Schichtübergabedatensatz konfigurieren.
    Korallendesign
    Coral ist jetzt das Standarddesign für neue Portal-, Web- und Mobile-Experiences mit Next Experience Oder Core-UI Aktiviert. Dieses Design bietet ein frisches Erscheinungsbild mit markenneutralen Illustrationen, um Ihre Anwender-Experience zu verbessern. Für Web- und Mobile-Experiences ist eine dunkle Designoption verfügbar.

    Änderungen in diesem Release

    Security Incident Response Other Records
    Fügen Sie einem Security Incident mehrere ITSM-Incidents hinzu, für die mehrere IT-Aktionen erforderlich sind. Weitere Informationen finden Sie im Abschnitt mehrere ITSM-Incidents verknüpfen

    Informationen zur Eingabehilfe

    Dunkles Design
    Das neue Coral-Design enthält eine dunkle Designoption für Web- und Mobile-Experiences. Diese Option wird häufig verwendet, um die Augen zu entlasten und die Lesbarkeit zu verbessern.

    Verwandte ServiceNow-Anwendungen und -Funktionen

    Vulnerability Response
    Vulnerability Response Ist Teil von Security Operations Anwendungs-Suite. Zusammen verbinden diese Anwendungen die Sicherheit mit Ihrer IT-Abteilung, erhöhen die Geschwindigkeit und Effizienz Ihrer Antwort und geben Ihnen einen endgültigen Überblick über Ihre Sicherheitslage.
    Threat Intelligence
    Die ServiceNow® Threat Intelligence Mit der Anwendung können Sie Indikatoren für Kompromittierung (IOC) finden und Security Incidents mit Threat Intelligence-Daten anreichern.