Types d’intégrations ServiceNow fournies

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Les Opérations de sécurité applications (Réponse aux incidents de sécurité, Renseignements sur les menaceset Réponse aux vulnérabilités) peuvent être intégrées de manière transparente à d’autres ServiceNow applications pour améliorer leurs fonctions.

    Les intégrations suivantes sont fournies dans le système de Opérations de sécurité base.

    Intégration de Security Incident Response – Event Management

    Les options de l’application Gestion des événements ont été étendues pour prendre en charge Réponse aux incidents de sécurité. Le Réponse aux incidents de sécurité Gestion des événements module d’extension de support analyse automatiquement le contenu des événements pour Gestion des événements renseigner les champs dans les incidents de sécurité.

    Cas d’utilisation couvert :

    Création d’événements de sécurité dans le Gestion des événements système à partir d’outils d’information et Gestion des événements de sécurité (SIEM)

    Options utiles fournies :
    • Fonctionnalité de gestion des événements : corrélation d’événements, règles d’événements et règles d’alerte
    • Mappage automatique des valeurs de additional_information à l’incident de sécurité résultant

    Ressources:

    Documentation d’assistance Security Incident Event Management

    Documentation de Gestion des événements

    Réponse aux incidents de sécurité : intégration de l’API de jeu d’importation

    En plus de l’utiliser Gestion des événements pour transmettre par push des événements liés à la sécurité, l’application Réponse aux incidents de sécurité fournit une API de jeu d’importation qui permet la création directe d’incidents de sécurité. Le point de terminaison REST pour le jeu d’importation des incidents de sécurité est http://localhost:8080/api/now/import/sn_si_incident_import.

    Cette technique d’intégration est utile lorsque a) Gestion des événements n’est pas installé, ou b) il est souhaité de créer simplement des incidents de sécurité sans passer par le flux d’alerte > d’incident de sécurité d’événement > qui est requis lors de l’utilisation Gestion des événementsde .

    Cas d’utilisation couvert :

    Création d’incidents de sécurité directement à partir des outils SIEM.

    Options utiles fournies :

    Correspondance automatique des CI lors de la création d’un incident de sécurité sur la base d’une adresse IP, d’un NetBIOS ou d’un nom de domaine complet.

    Ressources:

    Documentation de l’API Import Set de plateforme

    Documentation des ensembles de données à importer des services Web d’incident de sécurité

    Threat Intelligence : rechercher l’intégration de la source

    Les sources de recherche offrent la possibilité d’envoyer des données à des sources de recherche externes pour déterminer si ces données sont malveillantes. Généralement, ces données sont une adresse IP, une URL, un fichier ou un hachage de fichier.

    Cas d’utilisation couvert :

    Recherchez une adresse IP, une URL, un fichier ou un hachage avec un service de recherche externe.

    Options utiles fournies :

    • Manière cohérente de demander des recherches à partir d’éléments de catalogue et d’incidents de sécurité.
    • Capacités de limitation et d’étranglement des débits fournies avec peu ou pas de codage.
    • Création automatique d’entrées observables d’indicateurs de compromis (IoC) pour tous les problèmes détectés par les sources de recherche.

    Threat Intelligence : intégration de la source des menaces

    Les sources de menace offrent la possibilité d’extraire des données des référentiels externes de Threat Intelligence. Ces données sont ensuite importées dans les différentes tables d’indicateurs de compromission qui existent dans le système. Les collections TAXII et les listes de blocage simples sont prises en charge nativement. Pour ajouter de nouvelles collections TAXII (ou des profils basés sur un service de découverte ou de gestion de collection), il suffit d’ajouter une entrée. De même, l’ajout d’une nouvelle liste de blocage simple à colonne unique consiste à entrer un nouvel enregistrement et à fournir l’URL de la liste de blocs. Pour des ensembles de données plus complexes, une intégration personnalisée peut être fournie pour passer un appel à une URL et analyser la réponse.

    Cas d’utilisation couvert :

    Récupérez les données d’une source de renseignements sur les menaces pour les charger dans des tables IoC.

    Options utiles fournies :

    • Prise en charge des listes de blocage simples et des collections TAXII sans codage.
    • Mécanisme simple d’exécution de messages REST pour récupérer des données.
    • Récupération/traitement des données découplées pour la réutilisation des composants d’intégration.
    • Prise en charge native du traitement des données transmises renvoyées aux sources de données (et aux jeux d’importation/cartes de transformation).
    • Prend en charge plusieurs demandes de données par intégration (pour les appels paginés) avec la possibilité de transmettre le contexte aux appels suivants

    Ressources:

    Définir une source de menace

    Vulnerability Response : intégration de l’invocation de scanner

    L’invocation du scanner de vulnérabilité est un point d’entrée d’intégration légère qui prend en charge l’invocation d’analyses de vulnérabilité à partir de l’instance. Un scanner de vulnérabilité tiers est appelé de manière asynchrone pour planifier une analyse à la recherche d’éléments de configuration ou d’adresses IP.

    Cas d’utilisation couvert :

    Effectuez une demande à un scanner tiers pour analyser un CI (à l’aide des informations d’hôte dérivées du CI) ou une adresse/des adresses IP.

    Options utiles fournies :

    • Cadre de travail simple pour la définition des implémentations de scanner.
    • Manière cohérente de demander des analyses à partir d’éléments de catalogue, d’incidents de sécurité et d’éléments vulnérables.
    • Mise à jour automatique des tâches avec le résultat de l’invocation de l’analyse.

    Vulnerability Response : intégration de données

    Les intégrations de données de vulnérabilité sont destinées à récupérer des données de vulnérabilité à partir de systèmes de vulnérabilité tiers. Les sorties attendues de ces intégrations sont des entrées de vulnérabilité et des éléments vulnérables. Cette intégration permet aux scanners de vulnérabilité tiers de fonctionner indépendamment, en s’attendant à ce que les vulnérabilités puissent être traitées et suivies au sein de l’instance.

    Cas d’utilisation couverts :

    • Récupérer les bibliothèques de vulnérabilité
    • Récupérer les paires vulnérabilité/CI
    • Synchroniser les CI avec le système de gestion des vulnérabilités
    Options utiles fournies :
    • Récupération/traitement des données découplées pour la réutilisation des composants d’intégration.
    • Prise en charge native du traitement des données transmises renvoyées aux sources de données (et aux jeux d’importation/cartes de transformation).
    • Prend en charge plusieurs demandes de données par intégration (pour les appels paginés) avec la possibilité de transmettre le contexte aux appels suivants.

    Ressources:

    Documentation sur l’intégration des données de vulnérabilité