セキュリティインシデントレスポンスリリースノート
ServiceNow® セキュリティインシデントレスポンスアプリケーションは、組織がセキュリティチームと IT チームを連携させ、脅威に迅速かつ効率的に対応し、組織のセキュリティ体制を表示するのに役立ちます。セキュリティインシデントレスポンス は Zurich リリースで拡張および更新されました。
Zurich リリースでの セキュリティインシデントレスポンス の特徴
- セキュリティインシデントレスポンス環境内の複数のセキュリティインシデントを一度にクローズします。
- CrowdStrike 次世代 SIEM 統合を実装し、相関検出と拡張データのリアルタイム取り込みを可能にしました。
- Splunk ES の統合が強化され、インシデントの分類が改善され、履歴データとアラートを効率的に取得できるようになりました。
- シフト引き継ぎレコードを設定してシフト間で移行するときに、シフト名を選択します。
- マネージャーがオンコールスケジューリングを構成および使用して、カバレッジのギャップを防ぎ、アナリストのシフトを構成することでアナリストがセキュリティインシデントに対処できるようにするのを支援します。
- TISC に送信する前に、観測事象にメタデータを追加します。
詳細については、「Security Incident Response」を参照してください。
重要:
セキュリティインシデントレスポンス は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。
Zurich リリースの新機能
- Close multiple security incidents
- 事前定義されたクローズコメントまたはコードを使用してセキュリティインシデントを一括クローズし、個々のインシデントを手動でクローズするために費やす時間を短縮します。クローズ候補には、アラートの設定ミス、重複、システム動作の変更など、共通の根本原因を持つ複数のインシデントが含まれる場合があります。
- セキュリティインシデントのプロセスマイニング
- プロセスマイニングで過去の SIR レコードをスキャンして、クローズまたは解決に時間がかかる処理 セキュリティインシデントレスポンス (SIR) インシデントの遅延の要因を特定します。時間のかかる要因には、複数回の再アサイン、長時間の保留、非アクティブ期間などがあります。マルチホップ分析やボトルネック分析などの分析手法を使用して、これらの要因を特定します。
- Send Observables to TISC
- TISC に送信する前に、信頼スコア、TLP (Traffic Light Protocol) 値、メモ、TISC タグなどのメタデータを観測事象に追加します。
- 間接的にリンクされた VIT を CVE に追加
- MITRE-ATT&CKフレームワークで、共通脆弱性識別子 (CVE) に関連付けられているすべてのサードパーティエンティティ (TPE) を特定し、sn_ti.include_cve_vit_indirect_relation システムプロパティを設定して、TPE を介してそれらの CVE に間接的にリンクされている脆弱性一致アイテム (VIT) の合計数を計算して表示します。
- オンコールスケジュールの設定
- アドミンとして:
- シフトを作成し、シフトに対してメンバーをアサインまたは削除します。
- グループのオンコールスケジュールを作成/編集します。
- グループが属するグループを含む、任意のグループのオンコールスケジュールを表示します。
アナリストとして:
- 空き状況と優先連絡方法を指定します。
- オンコールスケジュールを表示し、シフトの他のメンバーを確認します。
- 同じインシデントにアクセスするユーザー
- インシデントを開くと、現在同じインシデントにアクセスしているすべてのユーザーのイニシャルが表示されます。
- 観測事象をリンクするためのユニバーサル検索フィールド
- [ 関連する観測事象をリンク (Link associated observables )] ポップアップの検索フィールドを使用して、インシデントに関連する観測事象のすべてのフィールド値を検索します。
- CrowdStrike Next-Gen SIEM integration
-
プロファイルアドミンとして:
- セキュリティインシデントの候補である CrowdStrike Next-Gen SIEM の検出を検出し、これらのセキュリティインシデントの作成を自動化します。
- 検出プロファイルを作成します。
- CrowdStrike Next-Gen SIEM検出およびイベントフィールドを SIR セキュリティインシデントフィールドにマッピングします。
- 欠陥 CrowdStrike Next-Gen SIEM フィルタリングします。
- 検出を既存のオープンセキュリティインシデントに集計して、重複するセキュリティインシデントを作成する必要がないようにします。
- 継続的な検出の取り込みをスケジュールします。
- セキュリティインシデントレスポンスCrowdStrike Next-Gen SIEM検出ステータスの更新を自動化します。
- CrowdStrike Next-Gen SIEM検出コメントを SIR 作業メモと同期します。
- Create and name an event profile for the Splunk Enterprise Security event ingestion integration
-
- Splunk ES 統合と Splunk 統合間の双方向の更新とクロージャの同期を有効にします。
- クローズされたイベントを ServiceNow Splunk ES インスタンスにプルするオプションを使用して、クローズ済みイベントを含む履歴データと継続データの取得を有効にします。
- SIRでマッピングされたフィールドの更新を受信します。
- Components installed with Security Incident Response
- 新しいプロファイルアドミンロール (sn_si.ingestion_profile_admin) は、プラグインを構成し、 Splunk、 Splunk ES、および Azure Sentinel Integration for Security Operations アプリケーションのプロファイルを作成、編集、削除、管理するためのアクセス権を提供します。
- 関係グラフの機能拡張
-
アドミンとして:
- 関係グラフに入力するデフォルトの子ノードを定義します。
- 関係ラベルを構成します。
アナリストとして:- 親ノードレベルで子ノードを追加または削除します。
- 関係グラフのステータスを保存します。
- 更新されたデータを取得します。
UI の変更
- シフト引継ぎレコード
- [ 開始日 ] フィールドと [終了日 ] フィールドが削除されました。シフト引き継ぎレコードを構成するときに、代わりにシフト名を選択できるようになりました。
- サンゴのテーマ
- Coral は、 ネクストエクスペリエンス または コア UI が有効になっている新しいポータル、Web、およびモバイルエクスペリエンスのデフォルトテーマになりました。このテーマは、ユーザー エクスペリエンスを向上させるブランドニュートラルなイラストを特徴とし、新鮮なルック アンド フィールを提供します。ダークテーマオプションは、Web およびモバイルエクスペリエンスで使用できます。
このリリースでの変更
- Security Incident Response Other Records
- 複数の IT アクションが必要なセキュリティインシデントに複数の ITSM インシデントを追加します。詳細については、「複数の ITSM インシデントをリンクする」セクションを参照してください
アクセシビリティ情報
- ダークテーマ
- 新しい Coral テーマには、Web およびモバイルエクスペリエンス用のダークテーマオプションが含まれています。このオプションは一般に、目の疲れを軽減し、読みやすさを向上させるために使用されます。