Composants installés avec Réponse aux incidents de sécurité
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment des Réponse aux incidents de sécurité rôles d’utilisateur, des tables, des propriétés et des tâches planifiées.
Remarque :
La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.
Les données de démonstration sont disponibles pour cette fonctionnalité.
Propriétés installées
Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| L'heure de début par défaut pour tous les agents quand aucune planification n'est définie, au format suivant : 08:00 sn_si.default.start.time |
|
| Heure de fin par défaut pour tous les agents quand aucun calendrier n'est défini, au format suivant : 17:00 sn_si.default.end.time |
|
| Inclure les observables de type Destination ainsi que d’autres observables de type contexte dans l’incident de sécurité : relations utilisateur et CI sn_si.link_dest_ip |
Détermine si un observable d’incident de sécurité avec un contexte de type Destination s’affiche sous les onglets Éléments de configuration ou Utilisateurs affectés . Par défaut, les observables avec un type de contexte de destination sont exclus. Pour inclure les observables, choisissez Oui. |
| Autoriser la personnalisation lors de la création d’un problème ou d’une demande de changement à partir d’un incident de sécurité sn_si.popup |
Lorsqu’un problème ou un changement est créé, cette propriété ouvre une fenêtre contextuelle pour modifier la demande. Si ces propriétés sont définies sur false, le problème ou la demande de changement a la même priorité, la même brève description et la même description que l’incident de sécurité sans la possibilité d’ajouter ou de modifier ces champs.
|
| Associez les résultats de recherche d’observations aux CI dans la CMDB. sn_si.associate_ci_with_sighting_search |
Lorsqu’ils sont définis sur vrai, les résultats de recherche d’observations incluent les éléments de configuration associés qui se trouvent dans votre CMDB.
|
| Le score de risque dans la plage est en surbrillance verte, au format 0-49 sn_si.score.risque.vert |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 0 et 49 sont marqués d’un point vert. |
| Le score de risque dans la plage est en surbrillance orange, au format 50-79 sn_si.score.risque.orange |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 50 et 79 sont marqués d’un point orange. |
| Le score de risque dans la plage est en surbrillance rouge, au format 80-100 sn_si.score.risque.rouge |
Dans la liste des incidents de sécurité, les incidents de sécurité avec un score de risque compris entre 80 et 100 sont marqués d’un point rouge. |
| Ce paramètre active ou désactive les configurations de recherche de perceptions qui ont implémenté cette fonctionnalité. sn_si.enable_sighting_search |
Lorsqu’elle est définie sur vrai, les recherches d’observations peuvent être effectuées sur les intégrations activées.
|
| Nombre de lignes de données brutes enregistrées lors de l’exécution d’une recherche d’observations. Plage 0-100 sn_si.sighting_search_raw_data_rows |
Cette propriété est définie par défaut sur 50 lignes de données brutes. La moitié des lignes de résultats sont signalées à partir du début de la période de recherche et l’autre moitié à partir de la fin de la période de recherche. Ainsi, si vous sélectionnez 50 lignes, 25 proviennent du début de la période de recherche et 25 de la fin de la période de recherche. |
| Faites passer automatiquement l’état de l’incident à Maîtriser lorsqu’une tâche de réponse passe à Travail en cours sn_si.rollup_task_state |
Lorsque vous utilisez des flux ou des workflows, pensez à définir cette propriété sur faux. Cela vous permet de contrôler l’état de l’incident à partir des flux ou des workflows. Cela permet également d’éviter tout conflit potentiel lors de la transition d’un état d’incident à un autre.
|
| Propriétés de l’affectation pour Security Incident Response | |
| Poids de l'emplacement sn_si.location.weight |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, l’emplacement est pris en compte pour une tâche, la valeur de poids de l’emplacement est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Poids des compétences sn_si.compétences.poids |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, les compétences sont prises en compte pour une tâche, la valeur de poids des compétences est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Définir le nombre maximal d’analystes de sécurité à traiter par affectation automatique à un moment donné sn_si.max.agents.processed |
Le système dispose d’une limite absolue de 300 analystes de sécurité. Si vous spécifiez plus de 300, la valeur est définie sur ce niveau. Le système ne peut pas répartir automatiquement une tâche pour un groupe de répartition qui contient plus d’analystes de sécurité que la valeur configurée.
|
| Poids du fuseau horaire sn_si.fuseau horaire.poids |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, le fuseau horaire de l’analyste de sécurité est pris en compte pour une tâche, la valeur de pondération du fuseau horaire est ajoutée à la note de l’analyste de sécurité.
|
| Durée (en minutes) à ajouter entre la fin d’une tâche et le début du déplacement pour la suivante. sn_si.espacement.travail.espacement |
Un exemple d’une valeur de temps valide est 10.
|
Champs journal spécifiés contenant des balises de code qui restituent le contenu au format HTML.sn_si.journal_field.html_enabled |
|
| Calculer les services impactés en arrière-plan. sn_si.refresh_impacted.event |
La liste connexe des services affectés/CI impactés est générée par le biais d’événements. Lorsqu’elle est activée, l’actualisation est exécutée en arrière-plan et des balises de sécurité sont ajoutées à l’incident. Définissez la valeur sur true pour effectuer l’opération en arrière-plan.
|
| Récupérez le service critique à partir de données précalculées. sn_si.critical_service.calculator.use_cache |
Permet au calculateur de services critiques d’utiliser les données précalculées des éléments de configuration. Définir la valeur sur vrai pour effectuer une recherche à partir de données précalculées
|
Rôles installés
| Titre du rôle [name] | Description | Contient des rôles |
|---|---|---|
| Administrateur d'incident de sécurité [sn_si.admin] |
Contrôle total de toutes les Réponse aux incidents de sécurité données. Administre également les territoires et les compétences, selon les besoins. Remarque : Dans le système de base, l’administrateur a également accès à sn_si.admin. Réponse aux incidents de sécurité Peut être restreint auprès de l’administrateur tant qu’au moins un autre utilisateur est affecté au rôle d’administrateur de sécurité. |
|
| Analyste des incidents de sécurité [sn_si.analyste] |
Gérer les incidents de sécurité. Rôle sous-jacent pour l’accès de base à la sécurité. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents, des demandes et des tâches de sécurité, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Incident de sécurité de base [sn_si.basic] |
Rôle sous-jacent pour l’accès de base à la sécurité. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour des incidents, des demandes et des tâches de sécurité, ainsi que des problèmes, des changements et des pannes liés à leurs incidents. |
|
| Directeur de la sécurité de l’information (CISO) [sn_si.ciso] |
Afficher et manipuler le tableau de bord CISO. En outre, si le module d’extension Vulnerability Response est activé, les utilisateurs disposant de ce rôle peuvent ajouter des arborescences de définition de l’importance de la vulnérabilité au tableau de bord. Vous pouvez également faire la même chose avec Réponse aux incidents de sécurité le plugin. |
|
| Incident de sécurité externe [sn_si.externe] |
Afficher tous les incidents de sécurité qui appartiennent à leur groupe particulier. Remarque : Les deux règles suivantes s’appliquent partout ServiceNow , quel que soit l’administrateur du champ d’application ou l’application du champ d’application.
|
service_fulfiller |
| Utilisateur d’intégration d’incident de sécurité [sn_si.integration_user] |
Les outils externes peuvent fournir de nouveaux enregistrements d’incident de sécurité et mettre à jour les enregistrements d’incident de sécurité. | import_transformer |
| Administrateur de la base de connaissances sur les incidents de sécurité [sn_si.knowledge_admin] |
Gérez, mettez à jour et supprimez les informations dans la base de connaissances des incidents de sécurité. |
|
| Gestionnaire d'incident de sécurité [sn_si.gestionnaire] |
Même accès que pour les analystes de sécurité. |
|
| Lecture de l’incident de sécurité [sn_si.read] |
Lire les incidents de sécurité. |
|
| Gestionnaire des restrictions d’accès à la sécurité [sn_si.restriction_access_manager] | Permet aux utilisateurs ou aux groupes d'« appliquer des restrictions » sur les incidents de sécurité. Cela ne s’applique qu’au changement de champ. | N/A |
| Accès spécial à l’incident de sécurité sn_si.accès_speciale |
Permet aux utilisateurs extérieurs à l’organisation Security Operations d’accéder à des incidents de sécurité spécifiques. | N/A |
| Activateur d’accès spécial de sécurité [sn_si.special_access_enabler] | Fournit un rôle d’accès spécial à un utilisateur en dehors de l’organisation Security Operations pour des incidents de sécurité spécifiques. | N/A |
| Gestionnaire de lecture d’accès spécial aux incidents de sécurité [sn_si.special_access_read_manager] | Rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès en lecture dans le formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
| Gestionnaire des rédacteurs d’accès spécial aux incidents de sécurité [sn_si.special_access_write_manager] | Rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès privilégié dans le formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
Tâches planifiées installées
| Tâche planifiée | Description |
|---|---|
| Rechercher des observables d’incident de sécurité | Effectue une recherche d’observables selon un calendrier défini par l’utilisateur. |
Tables installées
| Table | Description |
|---|---|
| Configuration du flux d’actualités [sn_si_feed_configuration] |
Enregistrements de configuration utilisés pour définir le contenu affiché dans le flux d’actualités des incidents de sécurité. |
| Règle d’affectation de revue post-incident [sn_si_pir_condition] |
Automatise la sélection des participants à une enquête de revue post-incident lorsqu’un incident de sécurité est fermé. |
| Incident de sécurité [sn_si_incident] |
Stocke un incident de sécurité, les réponses à l’incident, toutes les tâches liées, les changements, les problèmes et les incidents liés à cet incident de sécurité. |
| Vecteurs d’attaque des incidents de sécurité [sn_si_attack_vector] |
Options de vecteur d’attaque. |
| Journal d’audit des incidents de sécurité [sn_si_audit_log] |
Stocke les journaux d’audit d’enrichissement des incidents de sécurité. |
| Calculateur d’incident de sécurité [sn_si_calculator] |
Calculateur permettant de définir certains champs d’incident de sécurité lorsque certaines conditions sont remplies. |
| Groupe de calculateurs d’incident de sécurité [sn_si_calculator_group] |
Un regroupement de calculateurs d’incidents de sécurité. L’ordre du groupe de calculateurs détermine quel groupe est évalué en premier, et dans chaque groupe, un calculateur au maximum est utilisé. |
| Pare-feu d’enrichissement des incidents de sécurité [sn_si_enrichment_firewall] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques au pare-feu Palo Alto Networks. |
| Résultats des programmes malveillants d’enrichissement des incidents de sécurité [sn_si_enrichment_malware] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux programmes malveillants. |
| Statistiques du réseau d’enrichissement des incidents de sécurité [sn_si_enrichment_network_statistics] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux statistiques réseau. |
| Processus en cours d’exécution d’enrichissement des incidents de sécurité [sn_si_enrichment_running _processes] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux processus en cours d’exécution. |
| Services d’exécution d’enrichissement des incidents de sécurité [sn_si_enrichment_running_service] |
S’étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux services en cours d’exécution. |
| Recherche d’e-mail d’incident de sécurité [sn_si_m2m_incident_email_search] |
Mappe les enregistrements de recherche d’e-mails aux incidents de sécurité. |
| Importation d’incident de sécurité [sn_si_incident_import] |
Table d’importation pour les incidents de sécurité. Utilisé pour créer des incidents de sécurité à partir de systèmes externes. |
| Définition de processus d’incident de sécurité [sn_si_process_definition] |
Stocke la configuration pour les flux de processus des incidents de sécurité. |
| Sélecteur de définition de processus d’incident de sécurité [sn_si_process_definition_selector] |
Stocke la définition du processus d’incident de sécurité à utiliser pour les incidents de sécurité. |
| Ticket du service clientèle lié à un incident de sécurité [sn_si_m2m_incident_customerservice_case] |
Mappe les tickets du service client et les incidents de sécurité |
| Données d’enrichissement associées aux incidents de sécurité [sn_si_m2m_incident_enrichment] |
Mappe les incidents de sécurité et les enregistrements de données d’enrichissement connexes. |
| Tâche Réponse aux incidents de sécurité [sn_si_task] |
Gère les sous-tâches liées au traitement d’un incident de sécurité. Ces tâches peuvent être affectées au personnel de sécurité ou à d’autres départements pour gérer la communication entre les départements et le suivi des tâches. |
| Modèle de tâche Réponse aux incidents de sécurité [sn_si_task_template] |
Utilisé pour créer une Réponse aux incidents de sécurité tâche. Ces modèles sont souvent utilisés dans les entrées de catalogue, afin de créer automatiquement un ensemble de sous-tâches appropriées pour un type particulier d’incident de sécurité. |
| Document Runbook d’incidents de sécurité [sn_si_runbook_document] |
Associe les conditions ou les filtres d’incident de sécurité à un article de la base de connaissances. Utilisée pour spécifier des procédures de runbook pour la correction des incidents de sécurité. |
| Modèle d’incident de sécurité [sn_si_incident_template] |
Utilisée pour créer un incident de sécurité. Ces modèles sont souvent utilisés dans les entrées de catalogue pour créer un incident de sécurité prédéfini. |
| Demande de sécurité [sn_si_request] |
Une demande liée à la sécurité adressée à l’équipe de sécurité. |
| Demande d’analyse de sécurité [sn_si_scan_request] |
Une demande de recherche de menace. |
| Calculateur de gravité sn_si_severity_calculator |
Définit les valeurs de gravité, d’impact, de risque et de criticité d’un incident de sécurité. |
| Utilisateur affecté par la tâche [sn_si_m2m_task_affected_user] |
Table plusieurs à plusieurs associant les incidents de sécurité aux utilisateurs affectés. |
| Évaluateur de résultats d’activité de workflow de modèle [sn_si_wf_activity_outcome_evaluator] |
Mappe une option avec un script d’évaluation. Il est possible d’ajouter un nouveau flux secondaire à un workflow de modèle pour définir un résultat de tâche de réponse plutôt que de demander à un analyste de le définir manuellement. |