Security Incident Response: Integration des Ereignismanagements

Die Fähigkeiten von Ereignismanagement Anwendung wurde auf Support erweitert Security Incident Response. Die Security Incident Response Ereignismanagement Das Support-Plugin analysiert automatisch den Inhalt von Ereignissen in Ereignismanagement Zum Ausfüllen von Feldern in Security Incidents.

Erstellung von Sicherheitsereignissen in Ereignismanagement System aus Sicherheitsinformationen und Ereignismanagement(SIEM)-Tools

• Ereignismanagement-Funktionalität: Ereigniskorrelation, Ereignisregeln und Warnungsregeln
• Automatische Zuordnung von Additional_Information-Werten zu resultierendem Security Incident

Ressourcen:

Dokumentation zur Unterstützung des Security Incident-Ereignismanagements

Ereignismanagement-Dokumentation

Security Incident Response: Integration der Importsatz-API

Zusätzlich zur Verwendung Ereignismanagement Um sicherheitsbezogene Ereignisse zu veröffentlichen, die Security Incident Response Die Anwendung stellt eine Importsatz-API bereit, die die direkte Erstellung von Security Incidents ermöglicht. Der REST-Endpunkt für den Security Incident-Importsatz ist http://localhost:8080/api/now/import/sn_si_incident_import.

Diese Integrationstechnik ist nützlich, wenn a) Ereignismanagement Ist nicht installiert, oder b) es ist wünschenswert, einfach Security Incidents zu erstellen, ohne den Flow „Ereignis > Warnung > Security Incident“ durchlaufen zu müssen, der bei Verwendung erforderlich ist Ereignismanagement.

Erstellung von Security Incidents direkt aus SIEM-Tools.

Automatischer CI-Abgleich bei Erstellung von Security Incidents basierend auf IP, NetBIOS oder vollqualifiziertem Domänennamen.

Ressourcen:

Dokumentation zur Plattform-Importsatz-API

Threat Intelligence: Integration der Suchquelle

Suchquellen bieten die Möglichkeit, Daten an externe Suchquellen zu senden, um festzustellen, ob diese Daten schädlich sind. Im Allgemeinen handelt es sich bei diesen Daten um eine IP-Adresse, URL, Datei oder Datei-Hash.

Suchen Sie mit einem externen Suchservice nach einer IP-Adresse, URL, Datei oder Hash.

Nützliche Fähigkeiten bereitgestellt:

• Konsistente Methode zum anfordern von Suchen nach Katalogelementen und Security Incidents.
• Ratenbegrenzungs- und Drosselungsfähigkeiten mit wenig/keiner Codierung bereitgestellt.
• Automatische Erstellung von Einträgen erkennbarer Elemente (Indicators of Commission, IOC) für alle Probleme, die von Suchquellen gefunden werden.

Threat Intelligence: Integration der Bedrohungsquelle

Bedrohungsquellen bieten die Möglichkeit, Daten aus externen Threat Intelligence-Repositorys abzurufen. Diese Daten werden dann in die verschiedenen Indikatoren von Kompromisstabellen importiert, die im System vorhanden sind. TAXII-Sammlungen und einfache Blocklisten werden nativ unterstützt. Um neue TAXII-Sammlungen (oder Profile basierend auf einer Discovery oder einem Sammlungsverwaltungsservice) hinzuzufügen, müssen Sie einfach einen Eintrag hinzufügen. Ebenso besteht das Hinzufügen einer neuen einfachen einspaltigen Blockliste darin, einen neuen Datensatz einzugeben und die URL der Blockliste anzugeben. Für kompliziertere Datensätze kann eine anwenderdefinierte Integration bereitgestellt werden, um eine URL aufzurufen und die Antwort zu analysieren.

Ruft Daten aus einer Threat Intelligence-Quelle ab, um sie in IOC-Tabellen zu laden.

Nützliche Fähigkeiten bereitgestellt:

• Unterstützung für einfache Blocklisten und TAXII-Sammlungen ohne Codierung.
• Einfacher Mechanismus zum Ausführen von REST-Nachrichten zum Abrufen von Daten.
• Entkoppelter Datenabruf/-Verarbeitung für Wiederverwendbarkeit der Integrationskomponente.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Anrufe) mit der Möglichkeit, Kontext an nachfolgende Anrufe zu übergeben

Ressourcen:

Definieren Sie eine Bedrohungsquelle

Vulnerability Response: Integration des Scanneraufrufs

Der Aufruf von Schwachstellen-Scannern ist ein leichter Integrationseinstiegspunkt, der das Aufrufen von Schwachstellen-Scans aus der Instanz unterstützt. Ein Schwachstellen-Scanner von Drittanbietern wird asynchron aufgerufen, um einen Scan nach Konfigurationselementen oder IP-Adressen zu planen.

Anforderung an einen Drittpartei-Scanner senden, um ein CI (mithilfe von Host-Informationen, die von CI abgeleitet wurden) oder eine IP-Adresse/IP-Adressen zu scannen.

Nützliche Fähigkeiten bereitgestellt:

• Einfaches Framework zum Definieren von Scanner-Implementierungen.
• Konsistente Möglichkeit, Scans von Katalogelementen, Security Incidents und angreifbaren Elementen anzufordern.
• Automatische Aktualisierung von Aufgaben mit Ergebnis des Scan-Aufrufs.

Vulnerability Response: Datenintegration

Integrationen von Schwachstellendaten dienen dazu, Schwachstellendaten aus Schwachstellensystemen von Drittanbietern abzurufen. Die erwarteten Ausgaben dieser Integrationen sind Schwachstelleneinträge und angreifbare Elemente. Diese Integration ermöglicht es Drittanbieter-Schwachstellen-Scannern, unabhängig zu funktionieren, mit der Erwartung, dass Schwachstellen innerhalb der Instanz bearbeitet und nachverfolgt werden können.

Abgedeckte Anwendungsfälle:

• Rufen Sie Schwachstellen-Bibliotheken ab
• Rufen Sie Schwachstellen-/CI-Paarungen ab
• Synchronisieren Sie CIs mit dem Schwachstellen-Management-System

• Entkoppelter Datenabruf/-Verarbeitung für Wiederverwendbarkeit der Integrationskomponente.
• Native Unterstützung für die Verarbeitung der Übergabe von Daten, die an Datenquellen (und Importsätze/Transformationszuordnungen) zurückgegeben werden.
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Anrufe) mit der Möglichkeit, Kontext an nachfolgende Anrufe zu übergeben.

Ressourcen:

Dokumentation zur Integration von Schwachstellendaten