Présentation de Security Operations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Security Operations rassemble les données d’incident de vos outils de sécurité dans un moteur de réponse structuré qui utilise des workflows intelligents, l’automatisation et une connexion étroite avec le service informatique pour hiérarchiser et résoudre les menaces en fonction de l’impact qu’elles ont sur votre organisation.

    Security Operations en bref

    L’écosystème Security Operations peut être configuré de plusieurs façons, en fonction des besoins de votre entreprise et Security Operations des produits que vous concédez sous licence. Le diagramme suivant montre le flux d’un système de base Security Operations .

    Security Operations
    1. La première étape consiste à utiliser l’application ServiceNow Discovery pour rechercher des applications et des périphériques sur votre réseau, puis à mettre à jour la ServiceNow Configuration Management Database (CMDB).
    2. Intégrez vos outils SIEM (Security Information and Event Manager) existants à Security Operations des applications pour importer des données sur les menaces (via des API ou des alertes par e-mail) et créer automatiquement des incidents de sécurité classés par ordre de priorité.
    3. Utilisez les workflows et l’application Vulnerability Response pour classer instantanément par ordre de priorité les événements, les incidents de sécurité et les vulnérabilités.
    4. Enrichissez les données à l’aide de l’application Renseignements sur les menaces , ainsi que d’autres options d’exploitation d’apprentissage machine ou d’intelligence artificielle.
    5. Utilisez Gestion des risques d’autres Gouvernance, risque et conformité applications pour identifier, évaluer, traiter et surveiller en permanence les risques Enterprise et informatiques susceptibles d’avoir un impact négatif sur les opérations business.
    6. Les workflows intégrés à toutes les Security Operations applications éliminent les conjectures et les tâches fastidieuses de la correction.
    7. Consultez instantanément des informations détaillées sur votre posture de sécurité à l’aide de tableaux de bord.

    Relier la sécurité à l’informatique

    Grâce à Security Operations, les analystes de sécurité et les gestionnaires de vulnérabilités peuvent communiquer de manière transparente avec le service informatique en travaillant sur une plateforme unifiée. Vous pouvez déléguer l’application de correctifs et d’autres tâches au service informatique tout en conservant la visibilité des tâches. L’acheminement basé sur les compétences affecte les tâches aux intervenants appropriés, et les accords sur les niveaux de service garantissent que le travail est effectué à temps.

    Cela facilite une collaboration plus rapide entre le personnel de sécurité et le personnel informatique ; toutefois, les Now Platform données de sécurité sensibles sont toujours protégées par les rôles d’utilisateur. Cela signifie que l’accès aux données de sécurité peut être restreint pour les utilisateurs ayant le rôle administrateur, sauf s’ils ont également un rôle de sécurité.
    Figure 1. IT and Security Operations travaillant sur la Now Platform
    Security Operations et IT

    Suivi visuel de votre sécurité

    Security Operations offre des tableaux de bord et des rapports basés sur les rôles que vous pouvez personnaliser pour afficher l’état de votre sécurité. Tous les incidents de sécurité et vulnérabilités, avec un contexte enrichi, montrent visuellement comment vos services professionnels critiques sont affectés par les menaces. Les tableaux de bord améliorés avec le ServiceNow Analyse des performances produit affichent l’état de vos performances de sécurité au fil du temps, afin que vous puissiez suivre l’amélioration de votre posture de sécurité.
    Figure 2. Suivi de votre posture de sécurité en une vue pratique
    Vue d’ensemble de Security Operations

    La Security Operations suite d’applications

    Grâce à la Now Platformpuissance du , Security Operations les applications vous permettent d’adapter votre solution de sécurité aux besoins de votre entreprise et aux types de cybermenaces auxquelles vous êtes confronté.

    Comment les pièces s’emboîtent Security Operations

    Comme indiqué, Security Operations semble être un casse-tête. Mais lorsque les pièces s’emboîtent et que vous révélez l’image, la puissance et la flexibilité de l’image Now Platform deviennent apparentes. Chaque application et l’autre application qu’elle touche sont décrites dans les sections suivantes.
    Remarque :
    Les applications Governance, Risk, and Compliance (GRC) ne sont pas incluses dans la suite d’applications Security Operations . Toutefois, ils intègrent et partagent des données avec Security Operations, et sont donc inclus dans les descriptions et diagrammes suivants.
    Figure 3. La Security Operations suite (cliquez sur l’image pour l’agrandir)
    Suite d’applications Security Operations

    L’application Réponse aux incidents de sécurité

    Au cœur de l’écosystème Security Operations se trouve l’application Réponse aux incidents de sécurité (SIR). Réponse aux incidents de sécurité simplifie le processus d’identification des incidents critiques en appliquant de puissants workflows et des outils d’automatisation qui accélèrent la correction. Intégrez vos outils SIEM (Security Information and Event Manager) existants à Security Operations des applications pour importer des données sur les menaces (via des API ou des alertes par e-mail) et créer automatiquement des incidents de sécurité classés par ordre de priorité.

    Il existe de nombreuses possibilités au sein de l’écosystème Security Operations de créer automatiquement et manuellement des incidents de sécurité, comme illustré.
    Figure 4. Comment Réponse aux incidents de sécurité fonctionne avec d’autres Security Operations applications (cliquez sur l’image pour l’agrandir)
    Comment les produits de sécurité et de risque s’intègrent à Security Incident Response

    Vous pouvez facilement afficher et suivre les tâches de réponse. En utilisant les seuils SLA, Réponse aux incidents de sécurité notifie les analystes affectés aux tâches si celles-ci ne sont pas terminées à temps, ou si les tâches sont automatiquement escaladées, selon la configuration du système. Ainsi, aucune tâche n’est ignorée et aucune décision n’est ignorée. En outre, les analystes peuvent tenir les personnes concernées au courant de manière proactive depuis les Now Platform téléconférences ou à l’aide de la fonctionnalité de messagerie instantanée Connect.

    Security Incident Response automatise les tâches de base, telles que les demandes d’approbation, les analyses de programmes malveillants ou l’enrichissement des données sur les menaces lorsque SIR est intégré à l’application ServiceNow Renseignements sur les menaces . Ce type d’automatisation accélère la réponse aux incidents et permet à l’équipe de sécurité de passer plus de temps à traquer les menaces complexes et critiques. Les packs Orchestration pour les produits de sécurité intégrés automatisent les actions souvent répétées, telles que les demandes de blocage de pare-feu, à partir de .Security Operations Les playbooks vous permettent de résoudre certains types de menaces de sécurité étape par étape. Par exemple, vous pouvez résoudre les attaques de phishing et les menaces causées par une activité de code malveillant à l’aide de playbooks.

    Toutes les activités liées aux incidents, de l’analyse et de l’investigation au confinement et à la correction, sont suivies dans la plateforme. Lorsqu’un incident est fermé, une revue post-incident est distribuée à tous les membres de l’équipe pour créer un enregistrement d’audit historique pour référence ultérieure.
    Remarque :
    Pour plus d'informations, consultez Présentation de Réponse aux incidents de sécurité.

    L’application Vulnerability Response

    L’application Vulnerability Response vous aide à hiérarchiser vos actifs vulnérables et ajoute du contexte pour vous aider à déterminer quand les systèmes critiques de l’entreprise sont menacés. En utilisant la CMDB, Vulnerability Response vous pouvez également identifier facilement les dépendances entre les systèmes et évaluer rapidement l’impact des changements ou des temps d’arrêt sur l’entreprise. Vous pouvez afficher toutes les vulnérabilités affectant un service donné, ainsi que l’état actuel de toutes les vulnérabilités affectant votre organisation.

    Les équipes de réponse peuvent également tirer parti des flux de travail et des outils d’automatisation de l’application Now Platform pour remédier plus rapidement aux vulnérabilités. Lorsque des vulnérabilités critiques sont détectées, un workflow peut lancer automatiquement une demande d’approbation de correctif d’urgence. Une fois approuvé, les outils d’orchestration peuvent appliquer le correctif et déclencher une analyse de vulnérabilité supplémentaire pour s’assurer que le problème a été résolu.

    Pour les correctifs non urgents, il vous suffit de cliquer sur un bouton pour créer une demande de changement et envoyer les informations pertinentes au service informatique. Il en résulte une stratégie coordonnée de correction des vulnérabilités entre les services et les actifs, capable de traiter rapidement les éléments les plus critiques.
    Figure 5. Comment Vulnerability Response fonctionne avec d’autres Security Operations applications
    Comment les produits de sécurité et de risque s’intègrent à Vulnerability Response
    Remarque :
    Pour plus d'informations, consultez Explorer l’application Vulnerability Response.

    L’application Renseignements sur les menaces

    Security Operations comprend une application de renseignements sur les menaces qui aide les intervenants en cas d’incident à identifier les indicateurs de compromission (IoC) et à rechercher les attaques et les menaces de faible altitude. Il recherche automatiquement des informations pertinentes dans les flux de menaces lorsqu’un IoC est connecté à un incident de sécurité et peut envoyer des IoC à des sources tierces pour une analyse supplémentaire. Les résultats sont rapportés directement dans l’enregistrement d’incident de sécurité pour que l’analyste puisse les examiner, ce qui permet de gagner un temps précieux. ServiceNow prend en charge plusieurs flux de menaces, ainsi que STIX et TAXII, pour intégrer des données de renseignements sur les menaces provenant de diverses sources.
    Figure 6. Comment Renseignements sur les menaces fonctionne avec d’autres Security Operations applications
    Comment les produits de sécurité et de risque s’intègrent à Threat Intelligence
    Remarque :
    Pour plus d’informations, voir .Présentation de Renseignements sur les menaces.

    L’application Configuration Compliance

    Un logiciel mal configuré expose les entreprises à un risque de compromission. Configuration Compliance hiérarchise et corrige les actifs mal configurés à l’aide des données recueillies à partir d’analyses d’évaluation de la configuration de sécurité tierces. Il exploite la CMDB pour déterminer quels éléments sont les plus critiques. Les workflows et l’automatisation permettent une action rapide sur des actifs individuels ou des groupes pour des changements en bloc.

    Coordonnez-vous facilement avec le service informatique au sein d’une plateforme unique pour gérer les changements et les mises à jour. De plus, Configuration Compliance les données peuvent être introduites dans la fonction de surveillance continue afin d’atténuer ServiceNow Gouvernance, risque et conformité davantage les risques.
    Figure 7. Comment Configuration Compliance fonctionne avec d’autres Security Operations applications
    Comment les produits de sécurité et de risque s’intègrent à Configuration Compliance
    Remarque :
    Pour plus d'informations, consultez Explorer Configuration Compliance.

    Les Gouvernance, risque et conformité applications

    Les ServiceNow Gouvernance, risque et conformité applications (GRC) permettent de transformer des processus inefficaces au sein de votre entreprise étendue en un programme de gestion des risques intégré. Grâce à la surveillance et à l’automatisation continues, ServiceNow fournit une vue en temps réel de la conformité et des risques, améliore la prise de décision et augmente les performances dans l’ensemble de votre organisation et avec les fournisseurs. Only ServiceNow peut connecter l’entreprise, la sécurité et l’informatique grâce à un cadre de gestion des risques intégré qui transforme les processus manuels, cloisonnés et inefficaces en un programme unifié basé sur une plateforme unique.
    • Gestion des risques –Détectez et évaluez la probabilité et l’impact commercial d’un événement sur la base de données agrégées dans l’ensemble de votre entreprise étendue, et répondez aux changements critiques de la situation vis-à-vis du risque.
    • Policy and Compliance Management –Automatiser les cycles de vie des meilleures pratiques, unifier les processus de conformité et fournir des garanties quant à leur efficacité.
    • Audit Management –Définir le champ d’application et hiérarchiser les missions d’audit à l’aide des données sur les risques et des informations de profil afin d’éliminer les constatations d’audit récurrentes, d’améliorer l’assurance de l’audit et d’optimiser les ressources liées aux audits internes.
    • Gestion des risques du fournisseur –Mettre en place un processus normalisé et transparent pour gérer le cycle de vie des évaluations des risques, de la diligence raisonnable et de la réponse aux risques avec les partenaires commerciaux et les fournisseurs.
    Figure 8. Comment les applications fonctionnent avec Security Operations les applications (cliquez sur l’image Gouvernance, risque et conformité pour l’agrandir)
    Comment les produits de sécurité et de risque s’intègrent à la gouvernance, aux risques et à la gouvernance
    Remarque :
    Pour plus d'informations, consultez Governance, Risk, and Compliance.