イベントおよびアラートから作成されたセキュリティインシデント
イベントがアラートモニタリングツールからインポートされると、まず イベント管理 によって処理され、アラートにグループ化されます。これらのアラートを使用して、カスタマイズ可能なアラートルールに基づいてセキュリティインシデントを作成することも、手動で確認してセキュリティインシデントとして調査するアラートを選択することもできます。
イベント管理 アプリケーションの アラートルール モジュールに、「重大なアラートからセキュリティインシデントを作成する (Create security incidents from critical alerts)」というアラートルールのサンプルがあります。このアラートルールは、ServiceNow 内またはサードパーティのモニタリングアプリケーションから重大なセキュリティ関連イベントを受信したときに、セキュリティインシデントを自動的に作成します。セキュリティインシデントが作成されると、新しいイベントの受信時に更新されます。アラートルールのタスクテンプレートを変更して、このアラートルールによって作成されたセキュリティインシデントの初期値を変更できます。作成するさまざまなセキュリティインシデントを個別に処理するために、さまざまな条件で他のアラートルールを定義できます。
セキュリティアドミンロールを持つユーザーの場合は、不審なアラートから [セキュリティインシデントを作成] ボタンをクリックして、セキュリティインシデントを手動で作成できます。
外部ツールから受信したイベントに次の情報が含まれていることが重要です。
- 影響を受けるリソースになる CI の名前、IP アドレス、または sys_id に設定されたノード
- 他の IT イベントと区別するために [セキュリティ] に設定されたイベント分類
- セキュリティインシデントの説明が設定された、イベントの説明
- 追加情報には、カテゴリ、攻撃ベクトル、戻り先 URL、相関 ID など、前にリストしたフィールドや他のイベントフィールドに適合しない追加情報を含めることができます。形式は、次の JSON 形式を使用して、フィールド名とその値をリストした文字列です。
{ "fieldName" : "fieldValue", "fieldName" : "fieldValue" }
注:
フィールドと値のペアごとに、列名が fieldName と一致するセキュリティインシデントのフィールドが空の場合、fieldValue に設定されます。セキュリティインシデントのフィールドが空でない場合、フィールドは変更されません。いずれの場合も、追加情報でエンコードされたイベントとすべてのフィールドおよび値は、イベントを説明する作業メモエントリーに記録されます。セキュリティインシデントが変更されない場合、作業メモエントリーは作成されません。テーブルに追加するカスタムフィールドを含む、セキュリティインシデントのフィールドを設定できます。