통합 기능 프레임워크 2.0
새로운 Integration Capabilities Framework 2.0은 간단하고 일관된 방식으로 통합을 구현할 수 있도록 재설계되었습니다. 이렇게 하면 유사한 유형의 통합에 일관된 경험을 제공할 수 있습니다(예: 옵저버블 평판 조회).
새 프레임워크에는 플로우를 사용하여 구현 된 기능이 있습니다.
향상된 프레임워크 구현의 이점은 다음과 같습니다.
- 구현 특정 논리 없이 비즈니스 수준 구성요소만 포함하는 역량 플로우입니다.
- 역량 플로우는 이제 최대한의 유연성을 위해 광범위한 입력 배열과 형식(예: 옵저버블 참조, CI 참조, 작업, 테이블 또는 sys_id 조합)을 수용합니다.
- 이제 통합 실행에 대한 속도 제한 또는 제한을 쉽게 구성할 수 있습니다(사용자 지정 코드 또는 구현 워크플로 변경을 사용하여 이 작업을 수행할 필요가 없음).
- 이제 향상된 감사 및 실행 추적 기능을 통해 더 나은 보고와 더 쉬운 문제 해결이 가능합니다.
- 강력한 오류 처리 기능이 기능 플로우에 내장되어 있어 구현 루틴의 중복을 피할 수 있습니다.
- 역량 또는 통합의 조건부 트리거를 구성하는 기능 따라서 인시던트 범주에 따라 자동화를 자동으로 시작할 수 있는 유연성이 제공됩니다.
- 입력이 통합에 제공되기 전에 허용 목록에 있는 옵저버블을 필터링하는 기본 필터 조건이 모든 역량에 도입되었습니다.
주:
이 새로운 기능 프레임워크는 현재 기능 프레임워크를 업그레이드하지 않습니다. 두 프레임워크 모두 병렬로 작동할 수 있습니다. 새 기능 프레임워크를 활용하는 방법에 대한 지침은 및 플로우를 통해 새 역량 프레임워크 사용을 참조하십시오설치된 통합과 함께 새 기능 프레임워크 사용.
지원되는 통합 및 구성요소
보안 인시던트 응답 플러그인에는 Integration Capabilities Framework 2.0에 나열된 모든 역량 플로우와 요구 사항에 따라 사용하거나 사용하지 않도록 설정할 수 있는 표준 고급 필터가 포함되어 있습니다.
주:
New York 릴리스에서 새 역량 통합 프레임워크를 사용하려면 ServiceNow IntegrationHub Starter Pack Installer 플러그인을 설치해야 합니다. 설치에 대한 도움이 필요하면 고객 지원에 문의하십시오.
지원되는 애플리케이션 버전
Security Incident Response 10.0부터 다음 통합이 지원됩니다.
| 애플리케이션 | 필요한 최소 버전 |
|---|---|
| Security Operations Hybrid Analysis 통합 | 10.0.0 |
| Security Operations PhishTank 통합 | 10.0.0 |
| Security Operations 위협크라우드 통합 | 10.0.0 |
| Security Operations CrowdStrike Intelligence 통합 | 10.0.0 |
| 보안 운영 'Have I been pwned?' 통합 | 10.0.0 |
| Security Operations Metadefender 통합 | 10.0.0 |
| Security Operations Recorded Future 통합 | 10.0.0 |
| Security Operations VirusTotal 통합 | 10.0.0 |
| Security Operations Reverse WhoIs 통합 | 10.0.0 |
Security Incident Response 10.4부터 다음 통합이 지원됩니다.
| 애플리케이션 | 필요한 최소 버전 |
|---|---|
| Security Operations RiskIQ 통합 | 10.0.0 |
| Security Operations Shodan 통합 | 10.0.0 |
| Security Operations WhoIs 통합 | 10.0.0 |
| Security Operations Carbon Black 통합 | 10.3.1 |
| Security Operations Splunk Search 통합 | 10.3.0 |
| Security Operations ArcSight Logger 통합 | 10.3.0 |
| Security Operations McAfee ESM 통합 | 10.3.0 |
| Security Operations Elasticsearch 통합 | 10.3.0 |
| Security Operations IBM QRadar 통합 | 10.3.1 |
| Security Operations CrowdStrike Falcon 호스트 | 10.3.0 |
포함된 구성 요소
새 역량 통합 프레임워크에는 다음과 같은 구성요소가 포함됩니다.
- 기능: 현재 워크플로우로 제품에 존재하는 다음 기능은 모두 플로우를 사용하여 재설계되었습니다.
- 요청 차단: 방화벽, 웹 프록시 또는 기타 통제 지점에서 보안 인시던트와 관련된 옵저버블을 차단하는 방법을 제공합니다. 이 역량은 식별된 위협이 포함되도록 인시던트 응답 조사 중에 사용됩니다.
- 이메일 검색 및 삭제: 보안 조사 중에 이메일 서버를 검색하고 필요한 경우 서버에서 이메일을 삭제하는 방법을 제공합니다.
- 구성 항목 보강: 다양한 소스의 추가 정보로 구성 항목을 보강하는 일반적인 방법을 제공합니다. 이 기능은 인시던트 응답 조사 중에 보안 인시던트와 관련된 데이터를 보강하는 데 사용됩니다.
- 옵저버블 보강: 다양한 소스의 추가 정보로 옵저버블을 보강하는 일반적인 방법을 제공합니다. 이 역량은 식별된 위협이 포함되도록 인시던트 응답 조사 중에 사용됩니다.
- 이벤트 수집: 통합 소스의 이벤트를 보안 인시던트에 매핑하여 보안 인시던트를 생성하는 일반적인 방법을 제공합니다.
- 네트워크 통계 가져오기: 엔드포인트 또는 호스트에서 활성 네트워크 연결 목록을 검색합니다. 이 역량은 조사 중에 인시던트 강화에 사용됩니다.
- 실행 중인 프로세스 가져오기: 엔드포인트 또는 호스트에서 실행 중인 프로세스 목록을 검색합니다. 이 역량은 조사 중에 인시던트 강화에 사용됩니다.
- 호스트 격리: 보안 인시던트와 연관된 엔드포인트 또는 호스트를 격리하는 방법을 제공합니다. CI(구성 항목)에 대해 호스트 격리가 실행됩니다.
- 감시 목록에 게시: 보안 이벤트를 모니터링하고 경보를 생성하는 감시목록에 보안 인시던트와 연관된 관찰 가능 개체를 추가하는 방법을 제공합니다. 이 역량은 조사 중에 인시던트 응답의 일부로 사용됩니다.
- 사이팅 검색: 다양한 SIEM 또는 다른 로그 저장소에서 옵저버블 인스턴스를 검색합니다. 이 기능은 사용자 환경에 악의적인 IoC가 있는지 확인하는 데 사용됩니다.
- 위협 조회: 특정 옵저버블이 알려진 보안 위협과 관련이 있는지 확인하기 위해 위협 인텔리전스 조회를 수행합니다. 이 역량은 조사 중에 인시던트 응답의 일부로 사용됩니다.
- 새 테이블:
- sn_sec_cmn_capability: 역량을 구현하는 역량 및 플로우입니다.
- sn_sec_cmn_capability_implementation: 역량의 서비스를 제공하는 실제 구현 플로우입니다.
- sn_sec_cmn_capability_execution: 런타임 시 역량의 실행 기록입니다.
- sn_sec_cmn_capability_implementation_execution: 런타임 시 기능 구현에 대한 실행 기록입니다.
- sn_sec_cmn_filter_condition: 런타임에 기능 또는 기능 구현에 적용할 수 있는 필터 조건입니다.
- 스크립트 포함: CapabilityProcessor: 프레임워크에 대한 모든 처리 코드를 처리합니다.
- 요율 제한: 기간당 역량 최대 동시 요청: 병렬로 실행할 수 있는 통합 수를 정의합니다.
- 예약된 작업 프로세스 기능 구현: 15초마다 실행되며 보안 관리 속성 페이지(레이블이 표시됩니다.
- 예약된 작업의 활성화 또는 비활성화, 역량 구현 처리: 이 작업은 역량 구현 실행 플로우를 자동으로 예약하고 관리합니다.
- 자동 조회 또는 보강 사용 또는 사용 안 함: 현재 역량 프레임워크의 보안 인시던트에 옵저버블이 추가될 때 옵저버블의 자동 위협 조회 또는 보강을 수행하는 예약된 작업을 활성화하거나 비활성화하는 설정입니다.
- 예약된 작업인 보안 인시던트 옵저버블 조회 활성화 또는 비활성화: 이 작업은 옵저버블이 보안 인시던트에 추가될 때 위협 조회 또는 옵저버블 보강 작업을 자동으로 예약합니다.
새 기능 프레임워크의 구성
이 섹션에서는 새 프레임워크에서 사용할 수 있는 구성에 대해 설명합니다.
시작하기 전에
필요한 역할: sn_si.admin, flow_designer action_designer
프로시저
-
기본 시스템에서 사용할 수 있는 기능이 표시됩니다.
주:기본 시스템과 함께 제공되는 기능입니다. 기능을 사용하거나 필요에 따라 사용자 지정할 수 있습니다. 다음 단계에서는 역량 및 역량에 대해 구현된 통합을 구성하는 방법에 대해 설명합니다.
-
이름 열의 링크를 클릭하여 역량을 구성합니다.
역량이 구현하는 이름, 애플리케이션, 설명 및 플로우가 표시됩니다.
-
활성 확인란을 선택하여 역량을 활성화합니다.
- 역량 수준의 필터 조건: 통합 역량이 플로우를 구현하면 역량 플로우가 시작되기 전에 플로우와 연결된 필터 조건이 실행됩니다. 예를 들어, 위협 조회 기능에는 위와 같이 허용 목록에 있는 옵저버블 필터링 조건이 포함됩니다. 이름 링크를 클릭하여 필터 조건을 편집합니다. 주:작업에 작업 메모 추가 확인란을 선택하여 사용된 필터 조건에 대한 정보를 포함하는 작업 메모를 추가합니다.
필터 조건이나 스크립트 또는 둘의 조합을 정의할 수 있습니다. 위의 예에서 스크립트는 필터 조건을 정의하는 데 사용됩니다. 역량 플로우가 실행되면 스크립트는 허용 목록에 있는 옵저버블을 검색하여 테이블에서 제거합니다.
주:여기에 설정된 필터 조건은 역량 구현 탭에 정의된 모든 활성 통합에 적용할 수 있습니다 . - 역량 구현: 역량 구현 탭을 클릭합니다. 역량에 대해 구성된 구현(통합)이 표시됩니다. 아래 예는 위협 조회 기능에 대해 구성된 통합을 보여줍니다.
- 역량 수준의 필터 조건: 통합 역량이 플로우를 구현하면 역량 플로우가 시작되기 전에 플로우와 연결된 필터 조건이 실행됩니다. 예를 들어, 위협 조회 기능에는 위와 같이 허용 목록에 있는 옵저버블 필터링 조건이 포함됩니다. 이름 링크를 클릭하여 필터 조건을 편집합니다.
-
활성 확인란을 클릭하여 역량을 활성화합니다.
다음 상세 정보를 지정할 수 있습니다.
필드 이름 설명 활성 이 통합을 사용 안 함으로 설정하려면 이 확인란을 선택합니다. 주:의 통합 타일을 사용하여 이 통합을 구성하는 경우 페이지에서 이 플래그는 자동으로 활성으로 설정됩니다.순서 통합이 실행되는 순서를 나타냅니다. 역량 이 통합으로 구현되는 기능입니다. 플로우 역량을 구현하는 하위 플로우입니다. 구성 이 역량에 대한 통합 구성입니다. 주:처음에는 기본 시스템과 함께 제공되는 기본 구성으로 설정됩니다. 통합 구성 페이지의 통합 타일을 사용하여 통합을 구성하는 경우 이 값은 생성된 새 구성으로 자동으로 재설정됩니다.속도 제한 런타임에 실행할 수 있는 통합 수를 나타냅니다(병렬 또는 시간 단위당). 배치 입력 크기 각 실행의 배치 입력 크기입니다. 예를 들어, Sighting Search 통합의 경우 생성된 쿼리가 너무 커지지 않도록 옵저버블을 50개의 배치로 그룹화할 수 있습니다. 0은 제한이 없음을 나타냅니다. 시간 초과 기간 역량 구현 플로우가 취소되기 전의 최대 기간입니다. 0은 제한 시간이 없음을 나타냅니다. 요청한 총 수 구현 실행 요청의 총 수입니다. 이 필드는 총 요청 기간 필드와 함께 서비스에 대한 요청 수를 제한하는 데 사용할 수 있습니다. 예를 들어 요청 수를 분당 4개로 제한할 수 있습니다. 총 요청 기간 기간당 허용되는 총 실행 요청 수입니다. 재시도 제한 실패한 실행 요청에 허용된 재시도 횟수입니다. 이 제한은 조건이 충족될 때 실행 요청을 재시도하도록 통합에 재시도 플래그가 설정된 경우에 적용할 수 있습니다. 예를 들어, 일정 기간 동안 해당 서비스에 대한 라이센스 한도를 초과했거나 서비스가 다운된 경우 재시도 요청이 이루어집니다.
다음 이후에 다시 시도 실패한 실행 요청을 다시 시도한 후의 기간입니다. 최대 동시 요청 동시 구현 실행 요청의 최대 수입니다. 0은 제한이 없음을 나타냅니다. 사이팅 검색 구성 실행할 수 있는 기본 사이팅 검색 쿼리입니다. 필터 조건 섹션에서 이름 링크를 클릭하여 구현에 대해 정의된 조건을 구성합니다. 필터 조건을 추가 또는 삭제하고, 필요한 경우 스크립트를 수정하고, 기록을 업데이트합니다.
설치된 통합과 함께 새 기능 프레임워크 사용
이 섹션에서는 기존 통합에 새 프레임워크를 사용하는 방법에 대해 설명합니다.
아래 단계를 사용하여 새 기능 프레임워크를 사용하려면 이미 설치 및 구성된 통합( 에서 지원되는 통합 목록 참조) 지원되는 통합 및 구성요소을 활성화합니다.
주:
Security Incident Response 10.0.2에서 사용할 수 있는 Integration Capability Framework 2.0은 위협 조회 및 옵저버블 보강 기능 구현을 지원합니다. 다른 기능에 대한 구현은 향후 릴리스에서 제공될 예정입니다.
시작하기 전에
- 필요한 역할: sn_si.admin
- 보안 인시던트 응답 10.0.2
- 다음으로 이동 레이블이 표시됩니다.
- 위협 조회 기능을 클릭합니다.
- 역량 구현 탭을 클릭합니다.
- 4. 관심 통합에 대한 역량 구현 기록을 확인합니다(예: Crowdstrike Falcon Intelligence). 활성 열의 값은 False여야 합니다.
- 이름 링크를 클릭하여 구현 기록을 봅니다.
- 활성 확인란을 선택합니다.
- 구현 기록이 올바른 구성 기록( ).
- 구현은 새 프레임워크에서 사용할 수 있습니다.
주:
보안 인시던트 응답 10.0.2와 함께 설치될 때 지원되는 모든 통합은 새 통합 기능 프레임워크 하에서 자동으로 활성화됩니다.
플로우를 통해 새 역량 프레임워크 사용
아래 단계를 사용하여 플로우를 생성하고 새 역량 프레임워크에서 제공하는 하위 플로우를 호출합니다.
시작하기 전에
- 필요한 역할: sn_si.admin, flow_designer action_designer
- 지원되는 통합 중 하나를 설치합니다( 참조 지원되는 통합 및 구성요소).
아래 단계에서는 샘플 플로우를 생성하고 새 역량 프레임워크와 함께 제공되는 하위 플로우 중 하나를 호출하는 방법을 설명합니다.
프로시저
-
새로 만들기를 클릭하여 새 플로우를 만들고 속성에 필요한 정보를 제공합니다.
주:위의 이미지에 표시된 대로 실행 선택 목록에서 시스템 사용자를 선택합니다. -
플로우에 대한 트리거 조건을 선택합니다(일반적인 트리거는 특정 인시던트 범주에 대한 보안 인시던트 기록을 만드는 것입니다).
-
플로우의 1단계에서 보안 인시던트(예: 옵저버블)에서 입력을 가져오는 작업을 선택합니다.
보안 지원 공통 스포크와 함께 기본 시스템과 함께 제공되는 작업에서 작업을 선택할 수 있습니다.
-
2단계에서 하위 플로우(예: 위협 조회)를 선택합니다.
-
아래와 같이 선택한 하위 플로우를 구성합니다.
통합 역량 플로우 문제 해결
역량 실행 옵션은 실행된 각 역량에 대한 자세한 정보를 제공합니다.
주:
완료된 실행은 30일 후에 보관됩니다.
- 다음으로 이동 레이블이 표시됩니다.
- 역량 실행 링크를 클릭하여 상세 정보를 봅니다.
보안 인시던트 기록 작업 메모
옵저버블이 보안 인시던트에 추가되고 플로우에 대한 트리거 조건이 충족되면 위협 조회 및 옵저버블 보강 하위 플로우가 시작되고 다음 작업 메모가 보안 인시던트에 추가됩니다.
- 플로우 실행 시작: Security Operations Integration - 옵저버블 보강 V1
- 플로우 실행이 완료됨: Security Operations Integration - 옵저버블 V1 보강
- 플로우 실행 시작: Security Operations Integration – 위협 조회 V1
- 플로우 실행이 완료됨: Security Operations Integration – 위협 조회 V1
이러한 작업 메모를 보려면 sn_si.admin 또는 sn_si.analyst, flow_designer, action_designer 역할을 가진 사용자로 로그인합니다.
보안 인시던트 기록 페이지로 이동하고 이러한 작업 메모를 클릭하여 플로우 실행 상세 정보를 봅니다.
