Security Operations verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Security Operations bringt Incident-Daten aus Ihren Sicherheitstools in eine strukturierte Antwort-Engine, die intelligente Workflows, Automatisierung und eine enge Verbindung zur IT verwendet, um Bedrohungen basierend auf den Auswirkungen, die sie auf Ihr Unternehmen darstellen, zu priorisieren und zu beheben.

    Security Operations in Kürze

    Das Security Operations -Ökosystem kann je nach den Anforderungen Ihres Unternehmens und den von Ihnen lizenzierten Security Operations -Produkten auf verschiedene Arten konfiguriert werden. Das folgende Diagramm zeigt den Flow eines Basis Security Operations - -Systems.

    Security Operations
    1. Der erste Schritt besteht darin, die ServiceNow Discovery -Anwendung zu verwenden, um Anwendungen und Geräte in Ihrem Netzwerk zu finden, und dann die ServiceNow Configuration Management Database (CMDB) zu aktualisieren.
    2. Integrieren Sie Ihre vorhandenen SIEM-Tools (Security Information and Event Manager) mit den Anwendungen Security Operations, um Bedrohungsdaten (über APIs oder E-Mail-Warnungen) zu importieren und automatisch priorisierte Security Incidents zu erstellen.
    3. Verwenden Sie Workflows und die Anwendung Vulnerability Response, um Events, Security Incidents und Schwachstellen sofort zu priorisieren.
    4. Ergänzen Sie Daten mit der Anwendung Threat Intelligence sowie anderen Funktionen für maschinelles Lernen oder künstliche Intelligenz.
    5. Verwenden Sie Risikomanagement und andere Governance, Risk und Compliance -Anwendungen, um Unternehmens- und IT-Risiken, die sich negativ auf den Geschäftsbetrieb auswirken können, zu identifizieren, zu bewerten, darauf zu reagieren und sie kontinuierlich zu überwachen.
    6. Workflows, die in alle Security Operations -Anwendungen integriert sind, reduzieren die Fehlersuche und den Arbeitsaufwand bei der Fehlerkorrektur.
    7. Zeigen Sie mithilfe von Dashboards sofort detaillierte Informationen zu Ihrer Sicherheitslage an.

    Sicherheit mit IT verbinden

    Mit Security Operationskönnen Sicherheitsanalysten und Schwachstellenmanager nahtlos mit der IT kommunizieren, indem sie in einer einheitlichen Plattform arbeiten. Sie können Patches und andere Aufgaben an die IT übergeben und gleichzeitig die Transparenz der Aufgaben beibehalten. Durch die kompetenzbasierte Weiterleitung werden Aufgaben den richtigen Beantwortern zugewiesen, und Servicelevel-Vereinbarungen stellen sicher, dass die Arbeit rechtzeitig ausgeführt wird.

    Now Platform erleichtert die schnellere Zusammenarbeit zwischen Sicherheits- und IT-Personal. Vertrauliche Sicherheitsdaten werden jedoch weiterhin durch Benutzerrollen geschützt. Dies bedeutet, dass der Zugriff auf Sicherheitsdaten für Benutzer mit der Administratorrolle eingeschränkt werden kann, es sei denn, sie haben auch eine Sicherheitsrolle.
    Abbildung : 1. IT and Security Operations, die auf der Now Platform arbeiten
    Sicherheitsvorgänge und IT

    Visuelle Nachverfolgung Ihrer Sicherheit

    Security Operations bietet rollenbasierte Dashboards und Berichte, die Sie anpassen können, um den Status Ihrer Sicherheit anzuzeigen. Alle Security Incidents und Schwachstellen mit angereichertem Kontext zeigen visuell, wie Ihre kritischen Business Services von Bedrohungen betroffen sind. Mit dem Produkt ServiceNow Performance Analytics erweiterte Dashboards zeigen den Status Ihrer Sicherheitsleistung im Laufe der Zeit an, sodass Sie nachverfolgen können, wie sich Ihre Sicherheitslage verbessert.
    Abbildung : 2. Nachverfolgung Ihrer Sicherheitslage in einer benutzerfreundlichen Ansicht
    Übersicht über Security Operations

    Die Anwendungssuite Security Operations .

    Mit der Leistungsfähigkeit von Now PlatformSecurity Operations können Sie mit den Anwendungen von [] Ihre Sicherheitslösung an die Anforderungen Ihres Unternehmens und die Arten von Cyberbedrohungen anpassen, denen Sie ausgesetzt sind.

    Wie die Teile Security Operations zusammenpassen

    Wie gezeigt scheint Security Operations ein Rätsel zu sein. Wenn jedoch die Teile zusammengefügt werden und Sie das Bild preisgeben, wird die Leistungsfähigkeit und Flexibilität von Now Platform deutlich. Jede Anwendung und die andere Anwendung, die sie berührt, werden in den folgenden Abschnitten beschrieben.
    Hinweis:
    Die GRC-Anwendungen (Governance, Risk, and Compliance) sind nicht in der Anwendungssuite Security Operations enthalten. Sie integrieren jedoch Daten mit Security Operationsund teilen sie mit, sodass sie in den folgenden Beschreibungen und Diagrammen enthalten sind.
    Abbildung : 3. Die Suite Security Operations (zum Vergrößern auf das Bild klicken)
    Die Security Operations-Anwendungssuite

    Die Anwendung Security Incident Response .

    Das Herzstück des Security Operations -Ökosystems ist die Anwendung Security Incident Response (SIR). Security Incident Response vereinfacht den Prozess der Identifizierung kritischer Incidents durch die Anwendung leistungsstarker Workflow- und Automatisierungstools, die die Behebung beschleunigen. Integrieren Sie Ihre vorhandenen SIEM-Tools (Security Information and Event Manager) mit den Anwendungen Security Operations, um Bedrohungsdaten (über APIs oder E-Mail-Warnungen) zu importieren und automatisch priorisierte Security Incidents zu erstellen.

    Wie dargestellt gibt es innerhalb des Security Operations -Ökosystems viele Möglichkeiten, Security Incidents automatisch und manuell zu erstellen.
    Abbildung : 4. Funktionsweise von Security Incident Response mit anderen Security Operations -Anwendungen (zum Vergrößern auf das Bild klicken)
    Integration von Security and Risk-Produkten mit Security Incident Response

    Sie können Antwortaufgaben einfach anzeigen und nachverfolgen. Mithilfe von SLA-Schwellenwerten benachrichtigt Security Incident Response Analysten, die Aufgaben zugewiesen sind, wenn sie nicht rechtzeitig abgeschlossen werden, oder die Aufgaben werden automatisch eskaliert, je nachdem, wie das System konfiguriert ist. Es werden also keine Aufgaben übersprungen und keine Entscheidungen ignoriert. Darüber hinaus können Analysten Stakeholder proaktiv über Telefonkonferenzen oder mithilfe der Connect-Chat-Funktion Stakeholder innerhalb von Now Platform auf dem Laufenden halten.

    Security Incident Response automatisiert grundlegende Aufgaben wie Genehmigungsanforderungen, Malware-Scans oder Ergänzung von Bedrohungsdaten, wenn SIR in die Anwendung ServiceNow Threat Intelligence integriert ist. Diese Art der Automatisierung beschleunigt die Reaktion auf Incidents und ermöglicht dem Sicherheitsteam mehr Zeit für die Suche nach komplexen und kritischen Bedrohungen. Orchestration-Pakete für integrierte Sicherheitsprodukte automatisieren häufig wiederholte Aktionen, z. B. Firewall-Blockierungsanforderungen, in Security Operations. Mit Playbooks können Sie bestimmte Arten von Sicherheitsbedrohungen Schritt für Schritt lösen. Sie können beispielsweise Phishing-Angriffe und -Bedrohungen, die durch böswillige Codeaktivitäten verursacht werden, mithilfe von Playbooks beheben.

    Alle Incident-Aktivitäten, von der Analyse und Untersuchung bis hin zu Eindämmung und Korrektur, werden in der -Plattform nachverfolgt. Wenn ein Incident geschlossen wird, wird eine Überprüfung nach dem Incident an alle Teammitglieder verteilt, um einen historischen Audit-Datensatz zur späteren Referenz zu erstellen.
    Hinweis:
    Weitere Informationen finden Sie unter Security Incident Response verstehen.

    Die Anwendung Vulnerability Response .

    Die Anwendung Vulnerability Response hilft bei der Priorisierung Ihrer angreifbaren Assets und fügt Kontext hinzu, mit dem Sie feststellen können, wann geschäftskritische Systeme gefährdet sind. Mit der CMDB kann Vulnerability Response auch systemübergreifende Abhängigkeiten identifizieren und die geschäftlichen Auswirkungen von Änderungen oder Ausfallzeiten schnell bewerten. Sie können alle Schwachstellen anzeigen, die sich auf einen bestimmten Service auswirken, sowie den aktuellen Status aller Schwachstellen, die sich auf Ihre Organisation auswirken.

    Reaktionsteams können auch die Workflow- und Automatisierungstools in Now Platform nutzen, um Schwachstellen schneller zu beheben. Wenn kritische Schwachstellen gefunden werden, kann ein Workflow automatisch eine Notfall-Patch-Genehmigungsanforderung initiieren. Nach der Genehmigung können Orchestration-Tools den Patch anwenden und einen zusätzlichen Schwachstellenscan auslösen, um sicherzustellen, dass das Problem behoben wurde.

    Klicken Sie bei nicht dringenden Patches einfach auf eine Schaltfläche, um eine Change-Anforderung zu erstellen und die relevanten Informationen an die IT zu senden. Dies führt zu einer koordinierten Korrekturstrategie für Schwachstellen in Services und Assets, die die kritischsten Elemente schnell beheben kann.
    Abbildung : 5. Wie Vulnerability Response mit anderen Security Operations -Anwendungen funktioniert
    Integration von Security and Risk-Produkten mit Vulnerability Response
    Hinweis:
    Weitere Informationen finden Sie unter Die Anwendung Vulnerability Response erkunden.

    Die Anwendung Threat Intelligence .

    Security Operations umfasst eine Threat Intelligence-Anwendung, die Incident-Beantworter dabei unterstützt, Kompromittierungsindikatoren (Indicators of Compromise, IoC) zu finden und nach tief liegenden Angriffen und Bedrohungen zu suchen. Sie durchsucht Bedrohungs-Feeds automatisch nach relevanten Informationen, wenn ein IoC mit einem Security Incident verbunden ist, und kann IoCs zur zusätzlichen Analyse an Drittanbieterquellen senden. Die Ergebnisse werden direkt im Security Incident-Datensatz zur Überprüfung durch Analysten gemeldet, wodurch wertvolle Zeit gespart wird. ServiceNow unterstützt mehrere Bedrohungsfeeds sowie STIX und TAXII, um Threat Intelligence-Daten aus verschiedenen Quellen zu integrieren.
    Abbildung : 6. Wie Threat Intelligence mit anderen Security Operations -Anwendungen funktioniert
    Integration von Security and Risk-Produkten mit Threat Intelligence
    Hinweis:
    Weitere Informationen finden Sie unter.Threat Intelligence verstehen

    Die Anwendung Configuration Compliance .

    Falsch konfigurierte Software gefährdet Unternehmen. Configuration Compliance priorisiert und korrigiert falsch konfigurierte Assets anhand von Daten, die aus Scans von Sicherheitskonfigurationsbewertungen von Drittanbietern gesammelt wurden. Sie nutzt die CMDB, um zu bestimmen, welche Elemente am kritischsten sind. Workflows und Automatisierung ermöglichen schnelle Aktionen für einzelne Assets oder Gruppen für Massenänderungen.

    Einfache Abstimmung mit der IT in einer einzigen Plattform, um Änderungen und Aktualisierungen vorzunehmen. Darüber hinaus können Configuration Compliance -Daten in die kontinuierliche Überwachungsfunktion von ServiceNow Governance, Risk und Compliance eingespeist werden, um das Risiko weiter zu mindern.
    Abbildung : 7. Wie Configuration Compliance mit anderen Security Operations -Anwendungen funktioniert
    Integration von Sicherheits- und Risikoprodukten mit Configuration Compliance
    Hinweis:
    Weitere Informationen finden Sie unter Configuration Compliance erkunden.

    Die Anwendungen Governance, Risk und Compliance .

    Die Anwendungen ServiceNow Governance, Risk und Compliance (GRC) helfen Ihnen, ineffiziente Prozesse in Ihrem erweiterten Unternehmen in ein integriertes Risikoprogramm umzuwandeln. Durch kontinuierliche Überwachung und Automatisierung bietet ServiceNow eine Echtzeitansicht von Compliance und Risiken, verbessert die Entscheidungsfindung und erhöht die Leistung im gesamten Unternehmen und bei Lieferanten. Nur ServiceNow kann Geschäft, Sicherheit und IT mit einem integrierten Risiko-Framework verbinden, das manuelle, isolierte und ineffiziente Prozesse in ein einheitliches Programm umwandelt, das auf einer einzigen Plattform basiert.
    • Risikomanagement – Erkennen und bewerten Sie die Wahrscheinlichkeit sowie die geschäftlichen Auswirkungen eines Ereignisses basierend auf Daten, die in Ihrem erweiterten Unternehmen zusammengefasst werden, und reagieren Sie auf kritische Änderungen der Risikosituation.
    • Policy and Compliance Management – Automatisieren Sie Best Practice-Lebenszyklen, vereinheitlichen Sie Compliance-Prozesse, und geben Sie Zusicherungen für ihre Effektivität.
    • Audit Management – Umfang und Priorität von Audit-Interaktionen anhand von Risikodaten und Profilinformationen festlegen, um wiederkehrende Audit-Ergebnisse zu beseitigen, die Audit-Gewährleistung zu verbessern und Ressourcen für interne Audits zu optimieren.
    • Risikomanagement für Lieferanten –Einführung eines standardisierten und transparenten Prozesses zur Verwaltung des Lebenszyklus für Risikobewertungen, Sorgfaltspflicht und Risikobewältigung mit Geschäftspartnern und Lieferanten.
    Abbildung : 8. Funktionsweise der Anwendungen [ Governance, Risk und Compliance mit Anwendungen Security Operations (zum Vergrößern auf das Bild klicken)
    Integration von Sicherheits- und Risikoprodukten mit Governance, Risk und Governance
    Hinweis:
    Weitere Informationen finden Sie unter Governance, Risk, and Compliance.