Die Security Incident Response, Vulnerability Response, Und Threat Intelligence Plugins nutzen gemeinsame Funktionen für Beziehungsdaten und Duplizierungsregeln, die zum Importieren externer und interner Informationen in verwendet werden Security Operations.

E-Mail-Analyse, Duplizierungsregeln, Und FeldzuordnungVerwenden Sie Eingabedaten (E-Mail, JSON- oder XML-Datei oder Datensatz), und wandeln Sie diese Daten in das richtige Format um, um einen neuen Datensatz zu erstellen. Jede dieser Funktionen ruft Daten auf ihre eigene Weise ab, sie werden jedoch mithilfe vieler derselben Prozesse in den neuen Datensatz umgewandelt.

Beziehungsdaten

Wenn Sie einer zugehörigen Liste Informationen hinzufügen (z. B. ein zugehöriges erkennbares Element in einem Security Incident), können Sie einen Beziehungsdatensatz erstellen, der aus einer m2m-Tabelle besteht. Manchmal gibt es zusätzliche Daten für diesen Beziehungsdatensatz, die festgelegt werden sollen. Beispiel: Ein erkennbares Element ist eine Quell-IP (im Gegensatz zu einer Ziel-IP). Diese Informationen werden in eingegeben Beziehungsdaten Feld in Feldtransformation Formular verwendet von E-Mail-Analyse Oder ein Feldzuordnungsfelder Zugehörige Liste in Feldzuordnung Formular.

Die Beziehungsdaten Feld ist normalerweise leer. Wird am häufigsten für IP-Adressen für erkennbare Elemente in verwendet E-Mail-Analyse .

Sie können Daten von jedem transformieren ServiceNow Datensatz für beliebige andere ServiceNow Datensatz mit Feldzuordnungsfelder In Feldzuordnung Funktion. Zum Beispiel, um Daten von einem Incident in einen Security Incident oder von einem Security Incident in ein PRB umzuwandeln.

Security Operations-Duplizierungsregeln

Verwenden DuplizierungsregelnZur Verarbeitung doppelter Datensätze für Sicherheit, Schwachstelle, IoCs usw.

Duplizierungsregeln haben zwei Zwecke. Sie verhindern, dass zu viele doppelte Datensätze erstellt werden, und wenn ein Duplikat erkannt wird, geben sie an, welche Felder im Datensatz aktualisiert werden. Es werden nur aktive Duplikate gesucht. Wenn der Datensatz nicht aktiv ist, z. B. wenn der Incident geschlossen wird, wird jedes neue identische Problem zu einem neuen Incident.

Duplizierungsregeln werden von verwendet E-Mail-Analyse , Feldzuordnung , Und Ergänzungsdatenzuordnung .