Integrationsfähigkeits-Framework 2,0

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 11 Minuten Lesedauer

    • Das neue Framework für Integrationsfähigkeiten 2,0 wurde überarbeitet, um die Implementierung von Integrationen auf einfache und konsistente Weise zu ermöglichen. Dies stellt eine konsistente Experience für ähnliche Integrationstypen sicher (z. B. Reputationssuche erkennbarer Elemente).

    Das neue Framework verfügt über Fähigkeiten, die mit implementiert wurden Flows .

    Vorteile der erweiterten Framework-Implementierung:

    • Die Fähigkeits-Flows, die nur Komponenten auf Geschäftsebene ohne implementierungsspezifische Logik enthalten.
    • Die Fähigkeits-Flows akzeptieren jetzt ein breites Spektrum von Eingaben und Formaten, um maximale Flexibilität zu gewährleisten (z. B. Referenzen erkennbarer Elemente, CI-Referenzen, Aufgaben, beliebige Tabellen- oder sys_ID-Kombinationen).
    • Quotenbegrenzung oder Drosselung bei Integrationsausführungen sind jetzt einfach zu konfigurieren (ohne dass dies mithilfe von anwenderdefiniertem Code oder Änderungen an Implementierungs-Workflows erfolgen muss).
    • Verbesserte Auditing- und Ausführungsnachverfolgungsfunktionen ermöglichen jetzt bessere Berichterstellung und einfachere Problembehandlung.
    • Robuste Fehlerbehandlungsfunktionen sind in die Fähigkeits-Flows integriert, um zu vermeiden, dass Implementierungsroutinen dupliziert werden.
    • Möglichkeit, die bedingte Auslösung der Fähigkeiten oder Integrationen zu konfigurieren. Dies bietet Flexibilität, Automatisierungen basierend auf der Incident-Kategorie automatisch zu starten.
    • Eine Standardfilterbedingung wurde für alle Fähigkeiten eingeführt, um „Zulassen gelisteter erkennbarer Elemente zulassen“ zu filtern, bevor Eingaben für die Integrationen bereitgestellt werden.
    Hinweis:
    Dieses neue Fähigkeits-Framework führt kein Upgrade des aktuellen Fähigkeits-Frameworks durch. Beide Frameworks können parallel arbeiten. Anweisungen zur Nutzung des neuen Fähigkeits-Frameworks finden Sie unter Verwenden des neuen Fähigkeits-Frameworks mit einer installierten Integration Und Verwenden des neuen Fähigkeits-Frameworks mit einem Flow.

    Unterstützte Integrationen und Komponenten

    Das Plugin „Security Incident Response“ enthält alle in Integration Capabilities Framework 2,0 aufgeführten Fähigkeits-Flows und allgemeine Standardfilter, die Sie je nach Anforderung aktivieren oder deaktivieren können.

    Hinweis:
    Wenn Sie das neue Fähigkeits-Integrations-Framework mit dem New York-Release verwenden möchten, müssen Sie das Plugin ServiceNow IntegrationHub Starter Pack Installer installieren. Wenden Sie sich an den Kundensupport, um Hilfe bei der Installation zu erhalten.

    Unterstützte Anwendungsversionen

    Ab Security Incident Response 10.0 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Integration Von Security Operations Hybrid Analysis 10.0.0
    PhishTank-Integration für Security Operations 10.0.0
    ThreatCrowd-Integration für Security Operations 10.0.0
    CrowdStrike Intelligence-Integration für Security Operations 10.0.0
    Security Operations „wurde ich verpönt?“ Integration 10.0.0
    Security Operations-Metadefender-Integration 10.0.0
    Security Operations – Aufgezeichnete Zukünftige Integration 10.0.0
    Security Operations VirusTotal-Integration 10.0.0
    Security Operations – WHOIS-Integration umkehren 10.0.0
    Ab Security Incident Response 10.4 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Security Operations RiskIQ-Integration 10.0.0
    Security Operations-Shodan-Integration 10.0.0
    Security Operations WHOIS-Integration 10.0.0
    Security Operations Carbon Black-Integration 10.3.1
    Integration Der Splunk-Suche Für Security Operations 10.3.0
    Integration von Security Operations ArcSight Logger 10.3.0
    Security Operations McAfee ESM-Integration 10.3.0
    Security Operations Elasticsearch-Integration 10.3.0
    Security Operations: IBM QRadar-Integration 10.3.1
    CrowdStrike Falcon-Host für Security Operations 10.3.0

    Enthaltene Komponenten

    Das neue Fähigkeits-Integrations-Framework enthält die folgenden Komponenten:

    • Fähigkeiten : Alle folgenden Funktionen, die heute im Produkt als Workflows vorhanden sind, wurden mit neu gestaltet Flows :
      • Anforderung Blockieren : Bietet eine Möglichkeit zum Blockieren erkennbarer Elemente, die einem Security Incident zugeordnet sind, an einer Firewall, einem Web-Proxy oder einem anderen Kontrollpunkt. Diese Fähigkeit wird bei der Reaktion auf Incidents für Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • E-Mail suchen und löschen : Bietet eine Möglichkeit, einen E-Mail-Server während einer Sicherheitsuntersuchung zu durchsuchen und bei Bedarf E-Mails vom Server zu löschen.
      • Bereichern Sie Das Konfigurationselement : Bietet eine allgemeine Möglichkeit, Konfigurationselemente mit zusätzlichen Informationen aus einer Vielzahl von Quellen zu ergänzen. Diese Fähigkeit wird bei Untersuchungen zur Reaktion auf Incidents verwendet, um Daten anzureichern, die einem Security Incident zugeordnet sind.
      • Reichern Sie Erkennbares Element An : Bietet eine allgemeine Möglichkeit, erkennbare Elemente mit zusätzlichen Informationen aus einer Vielzahl von Quellen zu ergänzen. Diese Fähigkeit wird bei der Reaktion auf Incidents für Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • Ereigniserfassung : Bietet eine allgemeine Möglichkeit, einen Security Incident zu erstellen, indem Ereignisse aus einer Integrationsquelle einem Security Incident zugeordnet werden.
      • Rufen Sie Netzwerkstatistiken Ab : Ruft eine Liste aktiver Netzwerkverbindungen von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen zur Ergänzung von Incidents verwendet.
      • Laufende Prozesse Abrufen : Ruft eine Liste der laufenden Prozesse von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen zur Ergänzung von Incidents verwendet.
      • Host Isolieren : Bietet eine Möglichkeit, einen Endpunkt oder einen Host zu isolieren, der einem Security Incident zugeordnet ist. „Host isolieren“ wird für ein Konfigurationselement (CI) ausgeführt.
      • In Beobachtungsliste veröffentlichen : Bietet eine Möglichkeit, erkennbare Elemente, die einem Security Incident zugeordnet sind, einer Beobachtungsliste hinzuzufügen, die Sicherheitsereignisse überwacht und Warnungen generiert. Diese Fähigkeit wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
      • Sichtungssuche : Durchsucht verschiedene SIEMs oder andere Protokollspeicher nach Instanzen von erkennbaren Elementen. Diese Fähigkeit wird verwendet, um das Vorhandensein schädlicher IoCs in Ihrer Umgebung zu bestimmen.
      • Bedrohungssuche : Führt Threat Intelligence-Suchen durch, um zu bestimmen, ob ein bestimmtes erkennbares Element einer bekannten Sicherheitsbedrohung zugeordnet ist. Diese Fähigkeit wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
    • Neue Tabellen :
      • sn_sec_cmn_Capability: Fähigkeit und Flow, die die Fähigkeit implementieren.
      • sn_sec_cmn_Capability_Implementation: Der tatsächliche Implementierungs-Flow, der die Services der Fähigkeit bereitstellt.
      • sn_sec_cmn_Capability_Execution: Der Ausführungsdatensatz für eine Fähigkeit zur Laufzeit.
      • sn_sec_cmn_Capability_Implementation_Execution: Der Ausführungsdatensatz für eine Fähigkeitsimplementierung zur Laufzeit.
      • sn_sec_cmn_Filter_condition: Die Filterbedingungen, die zur Laufzeit auf die Fähigkeit oder eine Fähigkeitsimplementierung angewendet werden können.
    • Skript einschließen : CapabilityProcessor: Verarbeitet den gesamten Verarbeitungscode für das Framework.
    • Quotenlimit : Maximale gleichzeitige Anforderung der Fähigkeit pro Zeitraum: Definiert, wie viele Integrationen parallel ausgeführt werden können.
    • Implementierung der Prozessfähigkeit für geplante Aufgaben : Wird alle 15 Sekunden ausgeführt und kann auf der Seite „Eigenschaften der Sicherheitsadministration“ (. Deaktiviert werdenSecurity Incident > Administration > Eigenschaftenan.
      • Aktiviert oder deaktiviert die geplante Aufgabe, Prozessfähigkeitsimplementierungen: Dieser Auftrag plant und verwaltet automatisch die Ausführungs-Flows der Fähigkeitsimplementierung.
      • Aktiviert oder deaktiviert automatisierte Suchen oder Ergänzungen: Einstellung, die die geplante Aufgabe aktiviert oder deaktiviert, die eine automatisierte Bedrohungssuche oder Ergänzung erkennbarer Elemente durchführt, wenn erkennbare Elemente Security Incidents im aktuellen Fähigkeits-Framework hinzugefügt werden.
      • Aktiviert oder deaktiviert die geplante Aufgabe „erkennbare Security Incident-Elemente suchen“: Dieser Auftrag plant automatisch einen Auftrag zur Bedrohungssuche oder zum Anreichern erkennbarer Elemente, wenn erkennbare Elemente zu einem Security Incident hinzugefügt werden.

    Konfigurationen im neuen Fähigkeits-Framework

    In diesem Abschnitt werden die im neuen Framework verfügbaren Konfigurationen beschrieben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, Flow_Designer, action_Designer

    Prozedur

    1. Navigieren zu Alle > Security Operations > Integrationen > Fähigkeitenan.
      Hinweis:
      Version 10.4: Ab Security Incident Response 10.4, dem Menünamen Fähigkeiten Wurde in geändert Integrationsfähigkeiten (Flows) .
    2. Die mit dem Basissystem verfügbaren Fähigkeiten werden angezeigt.

      Fähigkeits-Flows: Sofort einsatzbereit
      Hinweis:

      Dies sind die Fähigkeiten, die mit dem Basissystem bereitgestellt werden. Sie können die Fähigkeiten verwenden oder sie nach Bedarf anpassen. Die folgenden Schritte beschreiben, wie eine Fähigkeit konfiguriert wird, und die für die Fähigkeit implementierten Integrationen.

    3. Klicken Sie auf den Link in der Spalte Name, um eine Fähigkeit zu konfigurieren.
      Der Name, die Anwendung, die Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
      Fähigkeits-Flows: Fähigkeit konfigurieren
    4. Wählen Sie aus Aktiv Kontrollkästchen zum Aktivieren der Fähigkeit.
      • Filterbedingungen auf Fähigkeitsebene : Wenn eine Integrationsfähigkeit einen Flow implementiert, werden die dem Flow zugeordneten Filterbedingungen ausgeführt, bevor der Fähigkeits-Flow gestartet wird. Beispielsweise enthält die Funktion „Bedrohungssuche“ die Bedingung „Allowlist für erkennbare Elemente filtern“, wie oben gezeigt. Klicken Sie auf den Namenslink, um die Filterbedingung zu bearbeiten.
        Hinweis:
        Wählen Sie aus Arbeitsnotiz zu Aufgabe hinzufügen Kontrollkästchen zum Hinzufügen von Arbeitsnotizen, um Informationen zu den verwendeten Filterbedingungen einzubeziehen.

        Fähigkeits-Flows: Fähigkeit konfigurieren: Filterbedingung bearbeiten

        Sie können entweder Filterbedingungen oder ein Skript oder eine Kombination aus beiden definieren. Im obigen Beispiel wird ein Skript verwendet, um die Filterbedingungen zu definieren. Wenn der Fähigkeits-Flow ausgeführt wird, sucht das Skript nach zulässigen erkennbaren Elementen und entfernt sie aus der Tabelle.

        Hinweis:
        Die hier festgelegten Filterbedingungen gelten für alle aktiven Integrationen, die in definiert sind Fähigkeitsimplementierungen Registerkarte.
      • Fähigkeitsimplementierungen : Klicken Sie auf Fähigkeitsimplementierungen Registerkarte. Die Implementierungen (Integrationen), die für die Fähigkeit konfiguriert wurden, werden angezeigt. Das folgende Beispiel zeigt die Integrationen, die für die Funktion „Bedrohungssuche“ konfiguriert sind:
        Fähigkeits-Flows: Bedrohungssuche: Fähigkeitsimplementierungen
    5. Klicken Sie auf den Namenslink, um die Fähigkeitsimplementierung anzuzeigen.
      Der Name, die Anwendung, die Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
    6. Klicken Sie auf Aktiv Kontrollkästchen zum Aktivieren der Fähigkeit.
      Fähigkeits-Flows: Bedrohungssuche: Virustotal

      Sie können die folgenden Details angeben:

      Tabelle : 1.
      Feldname Beschreibung
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese Integration zu deaktivieren.
      Hinweis:
      Wenn Sie diese Integration mithilfe der Integrationskachel in konfigurieren Security Operations > Integrationen > IntegrationskonfigurationenSeite, auf die diese Kennzeichnung automatisch festgelegt ist Aktiv .
      Reihenfolge Gibt die Reihenfolge an, in der die Integrationen ausgeführt werden.
      Fähigkeit Die von dieser Integration implementierte Fähigkeit.
      Flow Der Subflow, der die Fähigkeit implementiert.
      Konfiguration Die Integrationskonfiguration für diese Fähigkeit.
      Hinweis:
      Dies wird anfänglich auf die Standardkonfiguration festgelegt, die mit dem Basissystem bereitgestellt wird. Wenn eine Integration mit der Integrationskachel in konfiguriert wird Integrationskonfigurationen Seite, wird dieser Wert automatisch auf die neu erstellte Konfiguration zurückgesetzt.
      Quotengrenze Gibt die Anzahl der Integrationen an, die zur Laufzeit ausgeführt werden können (parallel oder pro Zeiteinheit).
      Batch-Eingabegröße Die Batch-Eingabegröße für jede Ausführung. Für eine Sichtungssuchintegration können Sie beispielsweise die erkennbaren Elemente in Batches von 50 gruppieren, damit die generierten Abfragen nicht zu groß werden. 0 gibt an, dass kein Grenzwert vorhanden ist.
      Zeitüberschreitungszeitraum Die maximale Dauer, bis der Fähigkeitsimplementierungs-Flow abgebrochen wird. 0 gibt an, dass kein Zeitüberschreitungszeitraum vorhanden ist.
      Anforderungen insgesamt Die Gesamtzahl der Implementierungsausführungsanforderungen. Dieses Feld kann in Verbindung mit dem Feld Gesamtanforderungszeitraum verwendet werden, um die Anzahl der Anforderungen für den Service zu begrenzen. Sie können die Anzahl beispielsweise auf 4 Anforderungen pro Minute beschränken.
      Anforderungen insgesamt im Zeitraum Die Gesamtzahl der pro Zeitraum zulässigen Ausführungsanforderungen.
      Wiederholungsbegrenzung Die Anzahl der Wiederholungen, die für eine fehlgeschlagene Ausführungsanforderung zulässig sind. Dieser Grenzwert gilt, wenn Wiederholen Sie Den Vorgang Die Kennzeichnung ist in Ihrer Integration so festgelegt, dass eine Ausführungsanforderung wiederholt wird, wenn eine Bedingung erfüllt ist.

      Beispielsweise wird eine Wiederholungsanforderung gestellt, wenn Sie Ihr Lizenzlimit für diesen Service für einen Zeitraum überschritten haben oder der Service ausgefallen ist.
      Wiederholen nach Der Zeitraum, nach dem versucht wird, eine fehlgeschlagene Ausführungsanforderung erneut zu versuchen.
      Max. gleichzeitige Anforderungen Die maximale Anzahl gleichzeitiger Implementierungsausführungsanforderungen. 0 gibt keinen Grenzwert an.
      Sichtungssuchkonfigurationen Die standardmäßigen Sichtungssuchabfragen, die ausgeführt werden können.
      Klicken Sie im Abschnitt Filterbedingungen auf den Link Name, um die für die Implementierung definierten Bedingungen zu konfigurieren. Fügen Sie Filterbedingungen hinzu, oder löschen Sie sie, ändern Sie das Skript bei Bedarf, und aktualisieren Sie den Datensatz.
      Fähigkeits-Flows: Bedrohungssuche: Virustotal: Filterbedingung

    Verwenden des neuen Fähigkeits-Frameworks mit einer installierten Integration

    In diesem Abschnitt wird beschrieben, wie das neue Fähigkeits-Framework für eine vorhandene Integration verwendet wird.

    Führen Sie die folgenden Schritte aus, um eine bereits installierte und konfigurierte Integration zu aktivieren (siehe unterstützte Liste der Integrationen in Unterstützte Integrationen und Komponenten), um das neue Fähigkeits-Framework zu verwenden.

    Hinweis:
    Integration Capability Framework 2,0, das mit Security Incident Response 10.0.2 verfügbar ist, unterstützt Implementierungen für Bedrohungssuche Und Reichern Sie Erkennbares Element An Fähigkeiten. Implementierungen für andere Fähigkeiten werden in einem zukünftigen Release verfügbar gemacht.
    Bevor Sie beginnen
    • Erforderliche Rolle: sn_si.admin
    • Security Incident Response 10.0.2
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitenan.
    2. Klicken Sie auf Bedrohungssuche Fähigkeit.
    3. Klicken Sie auf die Registerkarte Fähigkeitsimplementierung.
      Fähigkeits-Framework: Neue Fähigkeit
    4. 4. Zeigen Sie den Fähigkeitsimplementierungsdatensatz für die Integration von Interesse an (Beispiel: CrowdStrike Falcon Intelligence). Die Aktiv Die Spalte muss den Wert haben Falsch .
    5. Klicken Sie auf Name Link zum Anzeigen des Implementierungsdatensatzes.
      Fähigkeits-Framework: Neuer Fähigkeitsimplementierungsdatensatz
    6. Aktivieren Sie die Checkbox Aktiv.
    7. Stellen Sie sicher, dass der Implementierungsdatensatz auf den richtigen Konfigurationsdatensatz (den Kachelnamen für die Integration in) verweist Integrationskonfigurationen > Konfigurationen Anzeigen (Ja)) an.
      Fähigkeits-Framework: Konfigurationskachel
    8. Die Implementierung ist für die Verwendung mit dem neuen Framework aktiviert.
    Hinweis:
    Alle unterstützten Integrationen, wenn sie mit Security Incident Response 10.0.2 installiert werden, werden automatisch unter dem neuen Framework für Integrationsfähigkeiten aktiviert.

    Verwenden des neuen Fähigkeits-Frameworks mit einem Flow

    Führen Sie die folgenden Schritte aus, um einen Flow zu erstellen und den Subflow aufzurufen, der vom neuen Fähigkeits-Framework bereitgestellt wird.

    Vorbereitungen

    Die folgenden Schritte beschreiben, wie Sie einen Beispiel-Flow erstellen und einen der Subflows aufrufen, die mit dem neuen Fähigkeits-Framework bereitgestellt werden.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designeran.
    2. Klicken Sie Auf Neu Um einen neuen Flow zu erstellen und die erforderlichen Informationen für die Eigenschaften bereitzustellen.
      Fähigkeits-Framework: Neuen Flow erstellen
      Hinweis:
      Wählen Sie Aus Systemanwender In der Auswahlliste Ausführen als, wie in der obigen Abbildung gezeigt.
    3. Wählen Sie eine Auslöserbedingung für den Flow aus (ein allgemeiner Auslöser ist die Erstellung eines Security Incident-Datensatzes für eine bestimmte Incident-Kategorie).
      Fähigkeits-Framework: Neuen Flow erstellen: Auslöser
    4. Wählen Sie in Schritt 1 des Flows eine Aktion aus, um Eingaben aus dem Security Incident abzurufen (z. B. erkennbare Elemente).
      Sie können eine Aktion aus den Aktionen auswählen, die im Basissystem mit der Common Spoke für Security Support bereitgestellt werden.

      Fähigkeits-Framework: Neuen Flow erstellen: Aktion
    5. Wählen Sie in Schritt 2 einen Subflow aus (z. B. Bedrohungssuche).
      Fähigkeits-Framework: Neuen Flow erstellen: subflow
    6. Konfigurieren Sie den ausgewählten Subflow wie unten gezeigt:
      Fähigkeits-Framework: Neuen Flow erstellen: Subflow konfigurieren
    7. Speichern und veröffentlichen Sie den Flow.

    Problembehandlung für Integrationsfähigkeits-Flows

    Die Option Fähigkeitsausführungen enthält detaillierte Informationen zu jeder ausgeführten Fähigkeit.

    Hinweis:
    Abgeschlossene Ausführungen werden nach 30 Tagen archiviert.
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitsausführungen.an.

      Fähigkeits-Framework: Fähigkeitsausführungen
    2. Klicken Sie auf den Link Fähigkeitsausführungen, um zusätzliche Details anzuzeigen.

    Security Incident-Datensatz-Arbeitsnotizen

    Wenn erkennbare Elemente einem Security Incident hinzugefügt wurden und die Auslöserbedingung für den Flow erfüllt ist, werden die Subflows „Bedrohungssuche“ und „erkennbare Elemente anreichern“ initiiert, und dem Security Incident werden die folgenden Arbeitsnotizen hinzugefügt:
    • Flow-Ausführung gestartet: Integration von Security Operations – erkennbares Element anreichern V1
    • Flow-Ausführung abgeschlossen: Integration von Security Operations – erkennbares Element anreichern V1
    • Flow-Ausführung gestartet: Integration von Security Operations – Bedrohungssuche V1
    • Flow-Ausführung abgeschlossen: Integration von Security Operations – Bedrohungssuche V1

    Um diese Arbeitsnotizen anzuzeigen, melden Sie sich als Anwender mit an sn_si.admin Oder sn_si.Analyst , Und Flow_Designer , Und Action_Designer Rollen.

    Navigieren Sie zur Datensatzseite für Security Incidents, und klicken Sie auf diese Arbeitsnotizen, um die Flow-Ausführungsdetails anzuzeigen.
    Fähigkeits-Framework: Security Incident: Arbeitsnotizen