보안 인시던트 응답 릴리스 정보
이 ServiceNow® 보안 인시던트 응답 애플리케이션을 사용하면 조직에서 보안 팀과 IT 팀을 연결하고, 위협에 더 빠르고 효율적으로 대응하며, 조직의 보안 태세를 볼 수 있습니다. 보안 인시던트 응답 이 릴리스에서 Zurich 향상되고 업데이트되었습니다.
보안 인시던트 응답 릴리스의 Zurich 하이라이트
- 환경 내에서 여러 보안 인시던트를 한 번에 종결합니다 보안 인시던트 응답 .
- CrowdStrike 차세대 SIEM 통합을 구현하여 상관 관계가 있는 탐지 및 보강 데이터를 실시간으로 수집할 수 있습니다.
- 향상된 Splunk ES 통합으로 인시던트 분류를 개선하고 기록 데이터 및 경보를 효율적으로 검색할 수 있습니다.
- 한 교대조에서 다음 교대조로 전환하도록 교대조 핸드오버 기록을 구성할 때 교대조 이름을 선택합니다.
- 관리자가 당직 일정 관리를 구성하고 사용하여 범위의 격차를 방지하고 분석가의 교대조를 구성하여 분석가가 보안 인시던트를 해결할 수 있도록 합니다.
- 옵저버블을 TISC로 보내기 전에 옵저버블에 메타데이터를 추가합니다.
자세한 내용은 Security Incident Response 문서를 참조하십시오.
중요사항:
보안 인시던트 응답는 ServiceNow Store에서 사용할 수 있습니다. 자세한 내용은 이 릴리스 정보의 "활성화 정보" 섹션을 참조하십시오.
릴리스의 새로운 기능 Zurich
- Close multiple security incidents
- 미리 정의된 종결 처리 설명 또는 코드를 사용하여 보안 인시던트를 대량으로 종결하면 개별 인시던트를 수동으로 종결하는 데 소요되는 시간을 줄일 수 있습니다. 종결 후보에는 경보 구성 오류, 중복 또는 시스템 동작 변경과 같은 일반적인 근본 원인이 있는 여러 인시던트가 포함될 수 있습니다.
- 보안 인시던트에 대한 프로세스 마이닝
- 프로세스 마이닝을 통해 과거 SIR 기록을 스캔하여 종결하거나 해결하는 데 오랜 시간이 걸리는 SIR(처리 보안 인시던트 응답 지연) 인시던트에 기여하는 요인을 식별합니다. 시간이 많이 걸리는 요소에는 여러 번의 재할당, 장기간의 보류 시간 및 비활성 기간이 포함될 수 있습니다. 분석 방법을 사용하여 멀티홉 분석 또는 병목현상 분석과 같은 요인을 식별합니다.
- Send Observables to TISC
- 옵저버블을 TISC로 보내기 전에 신뢰 점수, TLP(Traffic Light Protocol) 값, 메모 및 TISC 태그와 같은 메타데이터를 옵저버블에 추가합니다.
- CVE에 간접 연결된 VIT 추가
- 프레임워크에서 MITRE-ATT&CK CVE(일반적인 취약성 및 노출)와 연결된 모든 TPE(외부 공급업체 엔터티)를 식별한 다음 시스템 속성을 설정하여 sn_ti.include_cve_vit_indirect_relation TPE를 통해 해당 CVE에 간접적으로 연결된 총 VIT(취약한 항목) 수를 계산하고 표시합니다.
- 대기 인원 일정 구성
- 관리자는:
- 교대조를 생성하고 교대조에서 구성원을 할당하거나 제거합니다.
- 그룹의 당직 일정을 생성/편집합니다.
- 자신이 속한 그룹을 포함하여 그룹의 당직 일정을 봅니다.
분석가:
- 가용성과 기본 연락 방법을 지정합니다.
- 대기 일정과 기타 교대조 구성원을 봅니다.
- 동일한 인시던트에 액세스하는 사용자
- 인시던트를 열면 현재 같은 인시던트에 액세스하는 모든 사용자의 이니셜이 표시됩니다.
- 옵저버블 연결을 위한 범용 검색 필드
- 연결된 옵저버블 연결 팝업의 검색 필드를 사용하여 인시던트에 연결된 옵저버블의 모든 필드 값을 검색합니다.
- CrowdStrike Next-Gen SIEM integration
-
프로파일 관리자인 경우:
- 보안 인시던트 후보인 탐지를 검색하고 CrowdStrike Next-Gen SIEM 이러한 보안 인시던트 생성을 자동화합니다.
- 탐지 프로파일을 생성합니다.
- 탐지 및 이벤트 필드를 SIR 보안 인시던트 필드에 매핑 CrowdStrike Next-Gen SIEM 합니다.
- 필터 CrowdStrike Next-Gen SIEM 결함.
- 중복 보안 인시던트를 생성할 필요가 없도록 기존 미해결 보안 인시던트에 대한 탐지를 집계합니다.
- 진행 중인 탐지 수집을 예약합니다.
- 에 대한 보안 인시던트 응답탐지 상태 업데이트를 자동화합니다CrowdStrike Next-Gen SIEM.
- 탐지 코멘트를 SIR 작업 메모와 동기화합니다 CrowdStrike Next-Gen SIEM .
- Create and name an event profile for the Splunk Enterprise Security event ingestion integration
-
- 및 Splunk 통합 간의 Splunk ES 양방향 업데이트 및 종결 동기화를 활성화합니다.
- 종결된 이벤트를 인스턴스로 끌어오는 옵션을 사용하여 종결된 이벤트를 포함한 기록 및 진행 중인 데이터를 검색할 수 있습니다 ServiceNow Splunk ES .
- 에서 SIR매핑된 필드에 대한 업데이트를 수신합니다.
- Components installed with Security Incident Response
- 새 프로필 관리자 역할(sn_si.ingestion_profile_admin)은 플러그인을 구성하고 , Splunk ES, 및 보안 운영용 Azure Sentinel 통합 애플리케이션에 대한 Splunk프로필을 생성, 편집, 삭제 및 관리할 수 있는 액세스 권한을 제공합니다.
- 관계 그래프 개선 사항
-
관리자는:
- 관계 그래프에 채울 기본 하위 노드를 정의합니다.
- 관계 레이블을 구성합니다.
분석가:- 상위 노드 수준에서 하위 노드를 추가하거나 제거합니다.
- 관계 그래프의 상태를 저장합니다.
- 업데이트된 데이터를 검색합니다.
UI 변경
- 교대 인수인계 기록
- 시작 날짜 및 종료 날짜 필드가 제거되었습니다. 이제 교대조 핸드오버 기록을 구성할 때 교대조 이름을 대신 선택할 수 있습니다.
- 산호 테마
- 이제 Coral이 활성화되거나 코어 UI 활성화된 넥스트 경험 새 포털, 웹 및 모바일 환경의 기본 테마입니다. 이 테마는 사용자 경험을 향상시키기 위해 브랜드 중립적인 일러스트레이션을 특징으로 하여 신선한 모양과 느낌을 제공합니다. 어두운 테마 옵션은 웹 및 모바일 환경에서 사용할 수 있습니다.
이번 릴리스에서 변경된 기능
- Security Incident Response Other Records
- 여러 IT 작업이 필요한 보안 인시던트에 여러 ITSM 인시던트를 추가합니다. 자세한 내용은 여러 ITSM 인시던트 연결 섹션을 참조하십시오
접근성 정보
- 어두운 테마
- 새로운 Coral 테마에는 웹 및 모바일 환경을 위한 어두운 테마 옵션이 포함되어 있습니다. 이 옵션은 일반적으로 눈의 피로를 완화하고 가독성을 향상시키기 위해 사용됩니다.