보안 인시던트 응답 릴리스 정보
ServiceNow® 보안 인시던트 응답 (SIR) 애플리케이션을 사용하면 조직에서 보안 및 IT 팀을 연결하고, 위협에 빠르고 효율적으로 대응하고, 조직의 보안 태세를 확인할 수 있습니다. 보안 인시던트 응답 이(가) 릴리스에서 Washington DC 개선 및 업데이트되었습니다.
보안 인시던트 응답 릴리스의 Washington DC 하이라이트
- 팀 구성원, 고객 및 기타 이해 관계자를 포함한 전화 회의를 통해 고객 문제를 해결합니다.
- 보안 인시던트의 사용 및 정의 메트릭을 통해 MTTR(평균 수리 시간) 정보를 캡처합니다.
- 에서 스캔 요청을 모니터링하고 보안 인시던트를 위험 관리 팀에 보안 인시던트 응답 작업 공간위험 이벤트로 보고합니다.
- 에서 직접 보안 인시던트 응답 작업 공간보안 인시던트에 대한 고객 서비스 케이스를 생성하고 고객 서비스 관리(CSM) 팀에서 추적합니다.
- VirusTotal 통합에는 통합에 대한 사용자의 개인 정보를 보호하기 위해 위협 조회를 위한 해시로 URL을 보내는 옵션이 제공됩니다.
중요사항:
보안 인시던트 응답 에서 사용할 수 있습니다 ServiceNow Store. 자세한 내용은 이 릴리스 노트의 "활성화 정보" 섹션을 참조하십시오.
릴리스의 새로운 기능 Washington DC
- Major Security Incident Management
- 전화 회의를 통해 고객 및 동료 에이전트와 공동 작업하고 , Zoom, 또는 Webex를 통해 Microsoft Teams고객 문제를 해결합니다. 통화 후 채팅, 녹음, 참가자 정보를 캡처할 수도 있습니다.
- Flow-based Playbooks
- 를 사용하면 수동 또는 문서화되지 않은 플레이북에서 자동화되고 반복 가능한 플레이북으로 보다 쉽게 전환할 수 있습니다플로우 디자이너. 이제 다음과 같은 새로운 Playbook을 지원합니다. 보안 인시던트 응답
- Playbook for Office 365 - Malicious File Detected
- Playbook for Repeat Detection
- Playbook for Spoofed Emails (using the same Display name)
- Playbook for Endpoint Detection
- Playbook for Possible Password Spray
- Playbook for T1003 - Detect Credential Dumping Tools
- Playbook for Email Domain Spoofing Detection
- Playbook for Typo Squatted Domain
- Playbook for Credential Sniffing
- Playbook for T1070 - Windows Events Logs Cleared
- Playbook for OSquery of External Address in /etc/hosts file
- Playbook for User Deleting Bash History - Cloud
- Playbook for Successful VPN Attempts from the Service Accounts - Corp/Cloud
- Playbook for Attempted Access to Deactivated Accounts
- Playbook for T1003 - Defense Evasion - Mimikatz DCShadow
- Playbook for T1003 - Credential Dumping - Mimikatz DCSync
- Playbook for Okta User Login Failures from Multiple IPs
- Playbook for ModSec Brute force by IP Burst
- Manage post incident activities
- 보안 인시던트 응답 는 이제 다음 기능을 지원합니다.
- MTTR(평균 수리 시간)을 캡처하기 위한 보안 인시던트의 사용 및 정의 메트릭입니다.
- 하위 보안 인시던트에 대한 PIR(사후 인시던트 검토) 보고서 생성을 활성화하거나 비활성화합니다.
- Security Incident Response Workspace
- 이제 에서 보안 인시던트 응답 작업 공간다음 작업을 수행할 수 있습니다.
- 스캔 요청 모니터링
- 보안 인시던트를 위험 관리 팀에서 추적할 위험 이벤트로 보고
- 고객 서비스 관리(CSM) 팀에서 추적할 보안 인시던트에 대한 고객 서비스 케이스를 만듭니다
- Activate and configure the VirusTotal integration
- 통합에서 사용자의 개인정보를 보호하기 위해 위협 조회를 위한 해시로 URL을 보냅니다.
이 릴리스에서 변경된 내용
- Microsoft Azure Sentinel 통합
-
- 새로 변경 Microsoft Azure Sentinel 되거나 업데이트된 변경 사항은 필드를 매핑하는 동안 각 SIR 인시던트 데이터를 자동으로 업데이트합니다 Microsoft Azure Sentinel . 자세한 내용은 Map the Microsoft Azure Sentinel incident fields 문서를 참조하십시오.
- 최대 6개월 동안 열려 있거나 종결된 모든 Azure Sentinel 인시던트를 가져옵니다. 자세한 내용은 다음을 참조하십시오 Schedule the Microsoft Azure Sentinel incident retrieval.
사용 중단
ServiceNow® 보안 인시던트 응답 는 다음 통합을 더 이상 지원하지 않습니다.
- Recorded Future
- Trusted Security Circles
이러한 사용 중단에 대한 자세한 내용은 기술 자료의 사용 중단 프로세스 [KB0867184] 문서를 Now Support 참조하십시오.
활성화 정보
ServiceNow Store에서 요청하여 보안 인시던트 응답를 설치합니다. ServiceNow Store 웹 사이트를 방문하면 사용 가능한 모든 앱을 확인하고 스토어에 요청을 제출하는 방법에 대한 정보를 참조할 수 있습니다. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.