Reaktion auf Security Incidents: Ereignismanagement-Integration

Die Fähigkeiten von EreignismanagementAnwendung wurde auf Unterstützung erweitert Security Incident Response. Die Security Incident Response EreignismanagementDas Support-Plugin analysiert automatisch den Inhalt von Ereignissen in EreignismanagementZum Ausfüllen von Feldern in Security Incidents.

Erstellung von Sicherheitsereignissen in EreignismanagementSystem aus Sicherheitsinformationen und Ereignismanagement(SIEM)-Tools

• Ereignismanagement-Funktionalität: Ereigniskorrelation, Ereignisregeln und Warnungsregeln
• Automatische Zuordnung von Additional_Information-Werten zu resultierendem Security Incident

Ressourcen:

Dokumentation zur Unterstützung des Security Incident-Ereignismanagements

Ereignismanagement-Dokumentation

Antwort auf Security Incidents: API-Integration des Importsatzes

Zusätzlich zur Verwendung EreignismanagementUm sicherheitsbezogene Ereignisse zu veröffentlichen Security Incident ResponseDie Anwendung stellt eine Importsatz-API bereit, die die direkte Erstellung von Security Incidents ermöglicht. Der REST-Endpunkt für den Importsatz für Security Incidents ist http://localhost:8080/api/now/import/sn_si_incident_import.

Diese Integrationstechnik ist nützlich, wenn a) EreignismanagementIst nicht installiert, oder b) es ist wünschenswert, einfach Security Incidents zu erstellen, ohne das Ereignis > Warnung > Security Incident-Flow durchlaufen zu müssen, der bei Verwendung erforderlich ist Ereignismanagement.

Erstellung von Security Incidents direkt aus SIEM-Tools.

Automatischer CI-Abgleich bei Erstellung von Security Incidents basierend auf IP, NetBIOS oder vollqualifiziertem Domänennamen.

Ressourcen:

API-Dokumentation für Plattformimportsatz

Threat Intelligence: Integration der Suchquelle

Suchquellen bieten die Möglichkeit, Daten an externe Suchquellen zu senden, um festzustellen, ob diese Daten schädlich sind. Im Allgemeinen handelt es sich bei diesen Daten um eine IP-Adresse, URL, Datei oder Datei-Hash.

Suchen Sie mit einem externen Suchservice nach IP-Adresse, URL, Datei oder Hash.

Nützliche Fähigkeiten bereitgestellt:

• Konsistente Methode, Suchvorgänge von Katalogelementen und Security Incidents anzufordern.
• Ratenbegrenzungs- und Drosselungsfähigkeiten mit wenig/keiner Codierung bereitgestellt.
• Automatische Erstellung von Einträgen für erkennbare Elemente (Indicators of Commitment, IOC) für alle Probleme, die von Suchquellen gefunden wurden.

Threat Intelligence: Integration der Bedrohungsquelle

Bedrohungsquellen bieten die Möglichkeit, Daten aus externen Threat Intelligence-Repositorys abzurufen. Diese Daten werden dann in die verschiedenen Indikatoren von Kompromittierungstabellen importiert, die im System vorhanden sind. TAXII-Sammlungen und einfache Blocklisten werden nativ unterstützt. Um neue TAXII-Sammlungen (oder Profile basierend auf einem Discovery- oder Sammlungsverwaltungsservice) hinzuzufügen, ist es so einfach wie das Hinzufügen eines Eintrags. Ebenso ist das Hinzufügen einer neuen einfachen einspaltigen Blockliste eine Angelegenheit der Eingabe eines neuen Datensatzes und der Angabe der URL der Blockliste. Für kompliziertere Datensätze kann eine anwenderdefinierte Integration bereitgestellt werden, um eine URL aufzurufen und die Antwort zu analysieren.

Ruft Daten aus einer Threat Intelligence-Quelle ab, um sie in IOC-Tabellen zu laden.

Nützliche Fähigkeiten bereitgestellt:

• Unterstützung für einfache Blocklisten und TAXII-Sammlungen ohne Codierung.
• Einfacher Mechanismus zum Ausführen von REST-Nachrichten zum Abrufen von Daten.
• Entkoppelter Datenabruf/-Verarbeitung für Wiederverwendbarkeit der Integrationskomponente.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, Kontext an nachfolgende Aufrufe zu übergeben

Ressourcen:

Definieren Sie eine Bedrohungsquelle

Schwachstellenantwort: Integration des Scanneraufrufs

Der Aufruf von Schwachstellen-Scannern ist ein leichter Integrationseinstiegspunkt, der das Aufrufen von Schwachstellen-Scans aus der Instanz unterstützt. Ein Schwachstellenscanner von Drittanbietern wird asynchron aufgerufen, um einen Scan nach Konfigurationselementen oder IP-Adressen zu planen.

Fordern Sie einen Drittanbieter-Scanner an, um ein CI (mithilfe von Host-Informationen, die von CI abgeleitet sind) oder eine IP-Adresse/IP-Adressen zu scannen.

Nützliche Fähigkeiten bereitgestellt:

• Einfaches Framework zum Definieren von Scanner-Implementierungen.
• Konsistente Methode, Scans von Katalogelementen, Security Incidents und angreifbaren Elementen anzufordern.
• Automatische Aktualisierung von Aufgaben mit Ergebnis des Scan-Aufrufs.

Schwachstellenantwort: Datenintegration

Schwachstellendaten-Integrationen dienen dazu, Schwachstellendaten aus Schwachstellensystemen von Drittanbietern abzurufen. Die erwarteten Ausgaben dieser Integrationen sind Schwachstelleneinträge und angreifbare Elemente. Diese Integration ermöglicht es Schwachstellen-Scannern von Drittanbietern, unabhängig zu funktionieren, wobei die Erwartung besteht, dass Schwachstellen innerhalb der Instanz bearbeitet und nachverfolgt werden können.

Abgedeckte Anwendungsfälle:

• Ruft Schwachstellen-Bibliotheken ab
• Ruft Schwachstellen-/CI-Paarungen ab
• Synchronisieren Sie CIs mit dem Schwachstellenmanagementsystem

• Entkoppelter Datenabruf/-Verarbeitung für Wiederverwendbarkeit der Integrationskomponente.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, Kontext an nachfolgende Aufrufe zu übergeben.

Ressourcen:

Dokumentation zur Integration von Schwachstellendaten