Security Incident Response – Event Management-Integration

Die Fähigkeiten der Anwendung Ereignismanagement wurden erweitert, um Security Incident Responsezu unterstützen. Das Support-Plugin Security Incident Response Ereignismanagement analysiert automatisch den Inhalt von Events in Ereignismanagement, um Felder in Security Incidents auszufüllen.

Erstellung von Sicherheits-Events im System Ereignismanagement aus Sicherheitsinformationen und den Tools von Ereignismanagement (SIEM).

• Event Management-Funktionalität – Event-Korrelation, Event-Regeln und Warnungsregeln
• Automatische Zuordnung von Additional_information-Werten zum resultierenden Security Incident

Ressourcen:

Support-Dokumentation für Security Incident Event Management

Event Management-Dokumentation

Security Incident Response – Integration der Import Set-API

Zusätzlich zur Verwendung von Ereignismanagement zum Übertragen von sicherheitsbezogenen Events bietet die Anwendung Security Incident Response eine Import Set-API, die die direkte Erstellung von Security Incidents ermöglicht. Der REST-Endpunkt für das Security Incident-Import Set ist http://localhost:8080/api/now/import/sn_si_incident_import.

Diese Integrationstechnik ist nützlich, wenn a) Ereignismanagement nicht installiert ist oder b) Security Incidents einfach erstellt werden sollen, ohne den Event > Warnung > Security Incident-Flow zu durchlaufen, der bei Verwendung von Ereignismanagementerforderlich ist.

Erstellung von Security Incidents direkt aus SIEM-Tools.

Automatische CI-Übereinstimmung bei der Erstellung von Security Incidents basierend auf IP, NetBIOS oder vollständig qualifiziertem Domänenname.

Ressourcen:

Dokumentation zur Platform Import Set API

Threat Intelligence – Integration der Suchquelle

Suchquellen bieten die Möglichkeit, Daten an externe Suchquellen zu senden, um festzustellen, ob diese Daten schädlich sind. Im Allgemeinen handelt es sich bei diesen Daten um eine IP-Adresse, eine URL, eine Datei oder einen Datei-Hash.

Suchen Sie mit einem externen Suchservice nach einer IP-Adresse, einer URL, einer Datei oder einem Hash.

Nützliche Funktionen bereitgestellt:

• Konsistente Methode zum Anfordern von Suchvorgängen aus Katalogelementen und Security Incidents.
• Ratenbegrenzungs- und Drosselfunktionen mit wenig/keiner Codierung bereitgestellt.
• Automatische Erstellung von IoC-Einträgen (Indicators of Compromise) für alle Probleme, die von Suchquellen gefunden wurden.

Threat Intelligence – Integration der Bedrohungsquelle

Bedrohungsquellen bieten die Möglichkeit, Daten aus externen Threat Intelligence-Repositorys abzurufen. Diese Daten werden dann in die verschiedenen Tabellen für Kompromittierungsindikatoren importiert, die im System vorhanden sind. TAXII-Sammlungen und einfache Sperrlisten werden nativ unterstützt. Um neue TAXII-Sammlungen (oder Profile basierend auf einem Discovery- oder Sammlungsverwaltungsservice) hinzuzufügen, müssen Sie nur einen Eintrag hinzufügen. In ähnlicher Weise müssen Sie beim Hinzufügen einer neuen einfachen Sperrliste mit einer Spalte einen neuen Datensatz eingeben und die URL der Sperrliste angeben. Für kompliziertere Datensätze kann eine benutzerdefinierte Integration bereitgestellt werden, um eine URL aufzurufen und die Antwort zu analysieren.

Rufen Sie Daten aus einer Threat Intelligence-Quelle ab, um sie in IoC-Tabellen zu laden.

Nützliche Funktionen bereitgestellt:

• Unterstützung für einfache Sperrlisten und TAXII-Sammlungen ohne Codierung.
• Einfacher Mechanismus zum Ausführen von REST-Nachrichten zum Abrufen von Daten.
• Entkoppelter Datenabruf/-verarbeitung für die Wiederverwendbarkeit von Integrationskomponenten.
• Native Unterstützung für die Verarbeitung von Übergabedaten, die an Datenquellen zurückgegeben werden (und Importsätze/Transformationszuordnungen).
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, den Kontext an nachfolgende Aufrufe zu übergeben

Ressourcen:

Definieren Sie eine Bedrohungsquelle

Vulnerability Response – Integration des Scanner-Aufrufs

Der Aufruf von Vulnerability Scanner ist ein einfacher Einstiegspunkt für die Integration, der den Aufruf von Schwachstellenprüfungen über die Instanz unterstützt. Ein Schwachstellenscanner einer Drittpartei wird asynchron aufgerufen, um einen Scan für Konfigurationselemente oder IP-Adressen zu planen.

Senden Sie eine Anforderung an einen Drittanbieter-Scanner, um ein CI (mithilfe der vom CI abgeleiteten Hostinformationen) oder eine IP-Adresse/IP-Adressen zu scannen.

Nützliche Funktionen bereitgestellt:

• Einfaches Framework zum Definieren von Scanner-Implementierungen.
• Einheitliche Methode zum Anfordern von Scans von Katalogelementen, Security Incidents und angreifbaren Elementen.
• Automatische Aktualisierung von Aufgaben mit Ergebnis des Scan-Aufrufs.

Vulnerability Response – Datenintegration

Schwachstellendaten-Integrationen zielen darauf ab, Schwachstellendaten aus Schwachstellensystemen von Drittanbietern abzurufen. Die erwarteten Ausgaben dieser Integrationen sind Schwachstelleneinträge und angreifbare Elemente. Diese Integration ermöglicht es Schwachstellenscannern von Drittanbietern, unabhängig zu funktionieren, mit der Erwartung, dass Schwachstellen innerhalb der Instanz bearbeitet und nachverfolgt werden können.

Abgedeckte Anwendungsfälle:

• Rufen Sie Schwachstellenbibliotheken ab
• Rufen Sie Schwachstellen-/CI-Paarungen ab
• CIs mit dem Schwachstellenmanagementsystem synchronisieren

• Entkoppelter Datenabruf/-verarbeitung für die Wiederverwendbarkeit von Integrationskomponenten.
• Native Unterstützung für die Verarbeitung von Übergabedaten, die an Datenquellen zurückgegeben werden (und Importsätze/Transformationszuordnungen).
• Unterstützt mehrere Datenanforderungen pro Integration (für paginierte Aufrufe) mit der Möglichkeit, den Kontext an nachfolgende Aufrufe zu übergeben.

Ressourcen:

Dokumentation zur Integration von Schwachstellendaten