Notes de publication Réponse aux incidents de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • L’application ServiceNow® Réponse aux incidents de sécurité aide votre organisation à connecter les équipes de sécurité et informatiques, à répondre plus rapidement et efficacement aux menaces et à consulter la posture de sécurité de votre organisation. Réponse aux incidents de sécurité a été amélioré et mis à jour dans la Zurich version.

    Points forts d'Réponse aux incidents de sécurité pour la version Zurich

    • Fermez plusieurs incidents de sécurité à la fois au sein d’un Réponse aux incidents de sécurité environnement.
    • Implémentation de l’intégration SIEM de nouvelle génération de CrowdStrike permettant l’ingestion en temps réel de détections corrélées et de données d’enrichissement.
    • Intégrations Splunk ES améliorées pour améliorer la classification des incidents et permettre une récupération efficace des données historiques et des alertes.
    • Sélectionnez le nom de l’équipe lors de la configuration de l’enregistrement de transfert d’équipe pour passer d’une équipe à l’autre.
    • Aidez les gestionnaires à configurer et à utiliser la planification d’astreinte pour éviter les lacunes dans la couverture et assurez-vous que les analystes sont disponibles pour traiter les incidents de sécurité en configurant des équipes pour les analystes.
    • Ajoutez des métadonnées aux observables avant de les envoyer à TISC.

    Consultez Security Incident Response pour plus d'informations.

    Important :
    Réponse aux incidents de sécurité est disponible dans le ServiceNow Store. Pour en savoir plus, reportez-vous à la section « Informations sur l’activation » de ces notes de version.

    Nouveautés de la version Zurich

    Close multiple security incidents
    Fermez les incidents de sécurité en bloc avec des commentaires ou des codes de fermeture prédéfinis pour réduire le temps consacré à la fermeture manuelle d’incidents individuels. Les candidats à la fermeture peuvent inclure plusieurs incidents ayant des causes premières communes telles qu’une mauvaise configuration des alertes, des doublons ou des changements dans le comportement du système.
    Exploration de processus pour les incidents de sécurité
    Identifiez les facteurs contribuant aux incidents de retard de traitement Réponse aux incidents de sécurité (SIR) dont la fermeture ou la résolution prend beaucoup de temps en analysant les enregistrements SIR historiques via l’exploration de processus. Les facteurs chronophages peuvent inclure de multiples réaffectations, des temps d’attente prolongés et des périodes d’inactivité. Utilisez des méthodes d’analyse pour identifier ces facteurs, telles que l’analyse à sauts multiples ou l’analyse des goulots d’étranglement.
    Send Observables to TISC
    Ajoutez des métadonnées aux observables, telles que le score de confiance, la valeur TLP (Traffic Light Protocol), les notes et les balises TISC avant de les envoyer à TISC.
    Ajouter des VIT indirectement liés aux CVE
    Dans MITRE-ATT&CK le cadre de travail, identifiez toutes les entités tierces associées aux vulnérabilités et expositions (CVE) communes, puis calculez et affichez le nombre total d’éléments vulnérables (VIT) indirectement liés à ces CVE via les TPE en définissant la sn_ti.include_cve_vit_indirect_relation propriété système.
    Configurer les planifications d’astreinte
    En tant qu’administrateur :
    • Créez une équipe et affectez ou supprimez des membres de l’équipe.
    • Créer/modifier les calendriers d’astreinte pour les groupes.
    • Consulter le calendrier d’astreinte de n’importe quel groupe, y compris ceux auxquels il appartient.

    En tant qu’analyste :

    • Indiquez votre disponibilité et vos méthodes de contact préférées.
    • Consulter votre calendrier d’astreinte et voir les autres membres de votre équipe.
    Utilisateurs accédant au même incident
    Lorsque vous ouvrez un incident, les initiales de tous les utilisateurs qui accèdent actuellement au même incident s’affichent.
    Champ de recherche universel pour la liaison d’observables
    Utilisez le champ de recherche de la fenêtre contextuelle Lier les observables associés pour rechercher dans toutes les valeurs de champ des observables associés pour un incident.
    CrowdStrike Next-Gen SIEM integration
    En tant qu’administrateur de profil :
    • Découvrez CrowdStrike Next-Gen SIEM les détections qui sont candidates aux incidents de sécurité et automatisez la création de ces incidents de sécurité.
    • Créer des profils de détection.
    • Mappez CrowdStrike Next-Gen SIEM les champs Détection et Événements aux champs d’incident de sécurité SIR.
    • Défauts des filtres CrowdStrike Next-Gen SIEM .
    • Regroupez les détections aux incidents de sécurité ouverts existants afin de ne pas avoir à créer des incidents de sécurité en double.
    • Planifier une ingestion de détection continue.
    • Automatiser les CrowdStrike Next-Gen SIEM mises à jour de l’état de détection pour Réponse aux incidents de sécurité.
    • Synchronisez les commentaires de détection avec les CrowdStrike Next-Gen SIEM notes de travail SIR.
    Create and name an event profile for the Splunk Enterprise Security event ingestion integration
    • Active les mises à jour bidirectionnelles et la synchronisation de fermeture entre Splunk ES les Splunk intégrations.
    • Permet de récupérer les données historiques et en cours, y compris les événements fermés, avec une option permettant d’extraire les événements fermés dans l’instance ServiceNow Splunk ES .
    • Recevez des mises à jour pour les champs mappés dans SIR.
    Components installed with Security Incident Response
    Un nouveau rôle d’administrateur de profil (sn_si.ingestion_profile_admin) permet de configurer des modules d’extension, ainsi que de créer, modifier, supprimer et gérer des profils pour l’application Splunk, Splunk ES et Azure Sentinel Integration pour Opérations de sécurité.
    Améliorations apportées aux graphes des relations
    En tant qu’administrateur :
    • Définissez les nœuds enfants par défaut à renseigner dans le graphe des relations.
    • Configurez les étiquettes de relation.
    En tant qu’analyste :
    • Ajoutez ou supprimez des nœuds enfants au niveau du nœud parent.
    • Enregistrez l’état du graphe des relations.
    • Récupérer les données mises à jour.

    Changements d’interface utilisateur

    Enregistrements de transfert d'équipe
    Les champs Date de début et Date de fin ont été supprimés. Vous pouvez maintenant sélectionner le nom de l’équipe à la place lors de la configuration de l’enregistrement de transfert d’équipe.
    Thème corail
    Corail est désormais le thème par défaut pour les nouvelles expériences portail, Web et mobiles avec Next Experience ou Interface utilisateur principale activées. Ce thème offre un nouveau look et une nouvelle sensation, avec des illustrations neutres pour améliorer votre expérience utilisateur. Une option de thème foncé est disponible pour les expériences Web et mobiles.

    Changements apportés à cette version

    Security Incident Response Other Records
    Ajoutez plusieurs incidents ITSM à un incident de sécurité pour lequel plusieurs actions informatiques sont nécessaires. Pour plus d’informations, consultez la section Lier plusieurs incidents ITSM

    Informations sur l'accessibilité

    Thème foncé
    Le nouveau thème Coral comprend une option de thème sombre pour les expériences Web et mobiles. Cette option est couramment utilisée pour soulager la fatigue oculaire et améliorer la lisibilité.

    Applications et fonctionnalités ServiceNow connexes

    Vulnerability Response
    Réponse aux vulnérabilités fait partie de la suite d’applications Opérations de sécurité . Ensemble, ces applications connectent la sécurité à votre service informatique, augmentent la vitesse et l’efficacité de votre réponse et vous donnent une vue définitive de votre posture de sécurité.
    Threat Intelligence
    L’application ServiceNow® Renseignements sur les menaces vous permet de trouver des indicateurs de compromission (IoC) et d’enrichir les incidents de sécurité avec des données de renseignements sur les menaces.