Points forts de la version récente pour Réponse aux incidents de sécurité

Prévention de la perte de données Réponse aux incidents (2.1.17)

• Nouveau :
  • Implémentation de la fonctionnalité Playbook dans l’espace de travail DLP Fichier de preuves :
 

    • a introduit la fonctionnalité Playbook dans l’espace de travail DLP pour améliorer l’efficacité opérationnelle.
  • Prévisualiser avec option de téléchargement :
    • Ajout d’une icône d’aperçu pour les fichiers de preuves dans l’espace de travail DLP. Les utilisateurs peuvent désormais prévisualiser les fichiers de preuves et les télécharger directement à partir de l’interface de prévisualisation, ce qui simplifie l’examen et la récupération des preuves.


  • Renommage du champ dans la table d’incidents DLP :

    • Le champ « Champs personnalisés » a été renommé en « Champs de données d’incident supplémentaires » dans la table Incident DLP pour mieux refléter son objectif et améliorer la clarté pour les utilisateurs.


  • Amélioration des règles de consolidation des incidents :

    • Mise à jour des règles de consolidation des incidents dans le module DLP pour garantir que l’incident parent se voit toujours affecter la priorité la plus élevée parmi les incidents consolidés, améliorant ainsi la précision de la gestion des incidents.


• Fixe:
  • Ajout d’un bouton Exporter pour exporter les données d’incident depuis l’espace de travail.


  • Correction des filtres en double créés lors de la création d’une nouvelle liste dans DLP IR Analyst Workspace.


  • La liste d’options du code de fermeture affiche les choix pour une autre table.

Intégration de Microsoft à Réponse aux incidents DLP (1.0.13)

• Nouveau :
  • Aperçu du fichier de preuve avec option de téléchargement :
    • Ajout d’une icône d’aperçu pour les fichiers de preuves dans l’espace de travail DLP.
    • Les utilisateurs peuvent désormais prévisualiser les fichiers de preuves et les télécharger directement à partir de l’interface de prévisualisation, ce qui simplifie l’examen et la récupération des preuves.

Intégration de ICAP à Réponse aux incidents DLP (1.0.9)

• Nouveau :
  • Aperçu du fichier de preuve avec option de téléchargement :
    • Ajout d’une icône d’aperçu pour les fichiers de preuves dans l’espace de travail DLP. Les utilisateurs peuvent désormais prévisualiser les fichiers de preuves et les télécharger directement à partir de l’interface de prévisualisation, ce qui simplifie l’examen et la récupération des preuves.
• Correction : Correction d’un problème où les exécutions d’intégration restaient parfois bloquées à l’état en cours d’exécution pour l’intégration ICAP, garantissant un comportement d’intégration cohérent et fiable.

Intégration de DLP Incident Response à Netskope (1.0.16)

• Nouveau :
  • Importer des incidents DLP à partir de Netskope pour fournir un workflow de réponse aux incidents pour les clients
  • Incidents de support créés par l’analyse des données au repos de Netskope : analyse en temps quasi réel et à la demande
  • Fournit la possibilité d’effectuer des actions à partir du portail d’utilisateur final DLP pour les utilisateurs finaux

Intégration de Proofpoint à Réponse aux incidents DLP (1.0.13)

• Nouveau :
  • Aperçu du fichier de preuve avec option de téléchargement :
    • Ajout d’une icône d’aperçu pour les fichiers de preuves dans l’espace de travail DLP.
      • Les utilisateurs peuvent désormais prévisualiser les fichiers de preuves et les télécharger directement à partir de l’interface de prévisualisation, ce qui simplifie l’examen et la récupération des preuves.

Intégration de Symantec à Réponse aux incidents DLP (1.1.20)

• Nouveau :
  • Implémentation du stockage externe Symantec Evidence File :
    • Mise en œuvre d’un stockage externe pour les fichiers de preuves Symantec, garantissant un stockage sécurisé, évolutif et efficace des données de preuves en dehors du système principal.

Gestion des valeurs d’impact - SECOPS (2.1.0)

• Correction : Les mesures impliquant un nombre d’utilisateurs actifs (ou d’autres requêtes qui reposent sur un changement d’état) sont désormais exclues de la collecte de données historiques pour les périodes supérieures à un mois. Ce changement garantit l’exactitude des données, car ces mesures ne peuvent pas être capturées de manière fiable à l’aide de requêtes ponctuelles.
• Compatible : Washington DC, Xanadu, Yokohama

McAfee ePO Intégration pour Opérations de sécurité (10.5.1)

Nouveau : migration des workflows par défaut existants vers les conceptions de flux à l’aide de Concepteur de flux.

Microsoft Azure Sentinel - Ingestion des incidents Intégration pour Security Operations (11.0.22)

• Fixe:
  • La technique est manquante dans la charge utile Azure Sentinel
  • Prend uniquement en charge le lien d’alerte unique dans les notes de travail SIR et l’obtention d’une virgule supplémentaire sur plusieurs alertes pour l’intégration d’Azure Sentinel.

Microsoft Exchange Online pour Security Operations (10.6.3)

Changé : Workflows migrés vers Flow Designer.

(2.0.1)

Offrez à votre équipe SOC les options de l’IA générative pour Réponse aux incidents de sécurité.

Palo Alto Networks - AutoFocus (10.4.0)

Nouveau : migration des workflows par défaut existants vers les conceptions de flux à l’aide de Concepteur de flux.

Palo Alto Networks - WildFire (10.4.0)

Nouveau : migration des workflows vers Flow Designer pour l’intégration de Security Incident Response à Palo Alto Networks WildFire.

Composant d’interface utilisateur de génération de rapports pour l’espace de travail (2.0.6)

Nouveau : prend en charge la fonctionnalité de génération de rapports d’état quotidiens dans l’espace de travail SIR et TISC.

Composant de l’éditeur de texte enrichi pour Opérations de sécurité (1.2.0)

Changé : Mises à jour pour Réponse aux incidents de sécurité - Rapport d’état quotidien.

Composants communs de l’espace de travail de la gestion des tickets de sécurité (1.3.1)

Corrigé : Problèmes d’accessibilité résolus.

Réponse aux incidents de sécurité (13.6.4)

• Nouveau :
  • Prise en charge des changements pour :
    • Option de téléconférence pour SIR via Teams/Zoom/WebEx pour les membres de l’équipe et les utilisateurs également affectés
    • Fonctionnalité de rapport d’état quotidien dans SIR via une pièce jointe d’e-mail compatible avec les mobiles
• Changé:
  • La prise en charge des changements pour la migration des workflows vers Flow Designer a été ajoutée pour quelques intégrations :
  • • McAfee ePO
    • Palo Alto Networks WildFire
    • Stocker Threat Core SIR
    • Microsoft Exchange On-Premises

Réponse aux incidents de sécurité Intégration avec Proofpoint (1.0.1)

L’intégration de Réponse aux incidents de sécurité avec Proofpoint permet aux analystes du centre des opérations de sécurité (SOC) de générer automatiquement des incidents de Réponse aux incidents de sécurité (SIR) de Now Platform lorsque certains événements ProofPoint configurés sont capturés. Les analystes répondent aux incidents de sécurité créés grâce à des workflows dans la Now Platform qui automatisent les activités de réponse aux incidents et la correction.

Intégration de Réponse aux incidents de sécurité à Zscaler (11.1.3)

• Fixe:
  • Résolution du problème d’échec du flux « Approbation pour ajouter à la liste de refus ».
  • Correction de la duplication des enregistrements d’approbateurs pour la liste de refus.

Réponse aux incidents de sécurité Espace de travail (1.7.0)

• Nouveau :
  • Rapport sur l’état de l’incident :
    • Modèles de résumés exécutifs et de rapports d’analyste
      • Introduction de modèles prêts à l’emploi et prêts à l’emploi pour rationaliser les processus de génération de rapports.
      • Modèles de rapports : les utilisateurs peuvent désormais créer des modèles réutilisables pour des rapports cohérents et standardisés.
      • Génération de rapports : générez facilement des rapports détaillés pour une meilleure prise de décision et une meilleure communication.
      • Partage de rapports : partagez des rapports de manière transparente avec les parties prenantes pour garantir l’alignement et la collaboration.
  • Fonction de téléconférence
    • Zoom
    • Teams
    • Expérience WebEx
  • Visualiseur de graphe relationnel
• Changement : Le bouton Discuter pour lancer une messagerie instantanée de barre latérale native a été renommé Démarrer la messagerie instantanée et est déplacé sous l’option Collaborer.
• Fixe:
  • Dans la liste de widgets de la page d’accueil SIR, l’action Affecter ne fonctionnait pas pour la deuxième fois si la page n’était pas actualisée.
  • Tâche de réponse : le volet Enregistrements connexes est vide
  • Après la fermeture d’un SIR, les playbooks associés s’affichent comme « Annulé » avec le motif : « Annulé par le système », même si le Playbook a été terminé avant la fermeture.
  • Problème lié au groupe d’affectation et à la recherche des champs affectés (symbole grossissant) dans l’espace de travail Réponse aux incidents de sécurité sur SIT.
  • Le fichier lié à Splunk ES doit être supprimé de l’espace de travail de l’analyste.

Opérations de sécurité Assistant de configuration (10.4.0)

Changement : mise à jour des workflows existants avec les flux de Concepteur de flux dans l’assistant de configuration (paramètres du playbook d’incident de sécurité).

Opérations de sécurité Spoke (10.6.5 )

Changé : Workflows du système de base migrés vers les flux du Concepteur de flux.

Actions recommandées pour Opérations de sécurité (1.0.2)

• Générez des actions recommandées pour vous aider à enquêter sur les incidents à l’aide des informations des articles de la base de connaissances correspondants et des incidents de sécurité fermés.
  • Vérifiez l’exactitude des actions recommandées générées. Vous pouvez les modifier et les enregistrer dans des notes de travail ou créer une tâche de réponse.
  • Les actions recommandées sont prises en charge pour les incidents de sécurité dans l’espace de travail Réponse aux incidents de sécurité et dans UI16 (hérité).

Security Support Common Orchestration (12.13.4)

Changé : Workflows du système de base migrés vers les flux du Concepteur de flux.

Déclencheurs (27.1.5)

• Enregistrer un ensemble de définitions de déclencheur en tant que déclencheur réutilisable. Permettez aux auteurs de flux de sélectionner le déclencheur enregistré à partir de certains ou de tous les flux d’application. Indiquez si les auteurs de flux peuvent voir les détails du déclencheur ou ajouter des conditions au déclencheur.
  • Enregistrez un ensemble de définitions de déclencheur en tant que déclencheur réutilisable qui répond à un événement externe par le biais de webhooks et d’événements basés sur des enregistrements.
  • Lorsqu’un événement se produit dans l’application tierce configurée qui répond aux conditions spécifiées, le déclencheur est activé.

Renseignements sur les menaces Support commun (13.3.1)

Changé : Workflows du système de base migrés vers les flux du Concepteur de flux.

Centre de sécurité des renseignements sur les menaces pour Opérations de sécurité (3.8.0)

• Nouveau :
  • Ajout d’une icône d’informations sur l’en-tête du canevas à partir d’un ticket pour afficher et accéder aux détails du canevas.
  • L’utilisateur a maintenant la possibilité de créer un canevas à partir d’un ticket.
• Fixe:
  • Le flux Cyware fonctionne désormais dans les instances évaluées séparées par domaine.
  • Correction de problèmes liés aux ACL sur les taxonomies et les modèles de rapports.
  • Le bouton de requête TISC sur la recherche d’observations Splunk est désormais présent, que la configuration soit active ou inactive.