Notes de publication Réponse aux incidents de sécurité
L’application ServiceNow® Réponse aux incidents de sécurité (SIR) permet à votre organisation de connecter les équipes de sécurité et informatiques, de réagir plus rapidement et efficacement aux menaces et d’afficher la posture de sécurité de votre organisation. Réponse aux incidents de sécurité a été amélioré et mis à jour dans la Washington DC version.
Points forts d'Réponse aux incidents de sécurité pour la version Washington DC
- Organiser des téléconférences incluant des membres de l’équipe, des clients et d’autres personnes concernées pour résoudre les problèmes des clients.
- Capturez des informations MTTR (délai moyen de réparation) via des mesures d’utilisation et de définition pour les incidents de sécurité.
- Surveillez les demandes d’analyse et signalez les incidents de sécurité comme événement à risque à l’équipe de gestion des risques à partir de Espace de travail de la Réponse aux incidents de sécurité.
- Créez un ticket du service client pour l’incident de sécurité directement à partir du Espace de travail de la Réponse aux incidents de sécurité, qui sera suivi par l’équipe Customer Service Management (CSM).
- VirusTotal L’intégration est fournie avec une option permettant d’envoyer des URL en tant que hachages pour la recherche de menaces, afin de protéger la confidentialité des utilisateurs sur l’intégration.
Important :
Réponse aux incidents de sécurité est disponible dans le ServiceNow Storefichier . Pour plus d’informations, consultez la section « Informations sur l’activation » des présentes notes de version.
Nouveautés de la version Washington DC
- Major Security Incident Management
- Collaborez avec vos clients et vos agents pairs via une téléconférence pour résoudre les problèmes des clients via Microsoft Teams, Zoomou Webex. Vous pouvez également capturer le chat post-appel, les enregistrements, les informations sur les participants.
- Flow-based Playbooks
- Transition plus facile des playbooks manuels ou non documentés vers des playbooks automatisés et reproductibles à l’aide de Concepteur de flux. Réponse aux incidents de sécurité prend désormais en charge les nouveaux playbooks suivants :
- Playbook for Office 365 - Malicious File Detected
- Playbook for Repeat Detection
- Playbook for Spoofed Emails (using the same Display name)
- Playbook for Endpoint Detection
- Playbook for Possible Password Spray
- Playbook for T1003 - Detect Credential Dumping Tools
- Playbook for Email Domain Spoofing Detection
- Playbook for Typo Squatted Domain
- Playbook for Credential Sniffing
- Playbook for T1070 - Windows Events Logs Cleared
- Playbook for OSquery of External Address in /etc/hosts file
- Playbook for User Deleting Bash History - Cloud
- Playbook for Successful VPN Attempts from the Service Accounts - Corp/Cloud
- Playbook for Attempted Access to Deactivated Accounts
- Playbook for T1003 - Defense Evasion - Mimikatz DCShadow
- Playbook for T1003 - Credential Dumping - Mimikatz DCSync
- Playbook for Okta User Login Failures from Multiple IPs
- Playbook for ModSec Brute force by IP Burst
- Manage post incident activities
- Réponse aux incidents de sécurité prend désormais en charge les options suivantes :
- Mesures d’utilisation et de définition pour les incidents de sécurité afin de capturer le MTTR (délai moyen de réparation).
- Activez ou désactivez la génération de rapports de revue post-incident (PIR) pour les incidents de sécurité enfants.
- Security Incident Response Workspace
- Vous pouvez maintenant effectuer les tâches suivantes dans :Espace de travail de la Réponse aux incidents de sécurité
- Surveiller les demandes d’analyse
- Signaler les incidents de sécurité comme un événement à risque, qui sera suivi par l’équipe de gestion des risques
- Créez un ticket du service client pour l’incident de sécurité, qui sera suivi par l’équipe Customer Service Management (CSM)
- Activate and configure the VirusTotal integration
- Envoyez les URL sous forme de hachages pour la recherche de menaces afin de protéger la confidentialité des utilisateurs sur l’intégration.
Changements apportés à cette version
- Intégration de Microsoft Azure Sentinel
-
- Tout changement nouveau ou mis à jour sera automatiquement mis à Microsoft Azure Sentinel jour les données d’incident SIR respectives lors du mappage des Microsoft Azure Sentinel champs. Pour en savoir plus, consultez Map the Microsoft Azure Sentinel incident fields.
- Retirez tous les incidents Azure Sentinel ouverts et fermés pour une période allant jusqu’à 6 mois. Pour plus d’informations, consultez Schedule the Microsoft Azure Sentinel incident retrieval.
Dépréciations
ServiceNow® Réponse aux incidents de sécurité ne prend plus en charge les intégrations suivantes :
- Recorded Future
- Trusted Security Circles
Pour plus d’informations sur ces dépréciations, consultez l’article Processus d’obsolescence [KB0867184] dans la Now Support base de connaissances.
Informations sur l'activation
Installer Réponse aux incidents de sécurité en le demandant à partir de ServiceNow Store. Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.