Notas de versão Resposta a incidentes de segurança
. ServiceNow® Resposta a incidentes de segurança( SIR) Ajuda sua organização a conectar equipes de segurança e TI, responder com mais rapidez e eficiência a ameaças e obter informações sobre a postura de segurança da sua organização. Resposta a incidentes de segurança foi aprimorado e atualizado em Austrália versão.
Resposta a incidentes de segurançadestaques para Austrália versão
- Ative ações de resposta automatizadas integrando CrowdStrike Next-Gen SIEM com o. ServiceNow Resposta a incidentes de segurança plataforma para recuperar detecções e convertê-las em incidentes de segurança.
- Buscar infrações encerradas de IBM QRadar em Resposta a incidentes de segurança.
- Rapidamente crie integrações para Resposta a incidentes de segurança usando a geração de código automático por meio do Now Assist Construtor de integração com tecnologia LLM.
- Ingira dados DO MITRE D3FEND e visualize relacionamentos ataque-defesa por meio de um gráfico interativo diretamente em um incidente de segurança.
Para obter mais informações, consulte Security Incident Response.
Importante:
Resposta a incidentes de segurançaestá disponível em ServiceNow Store. Para obter detalhes, consulte a seção "Informações de ativação" dessas notas de versão.
Novidades da versão Austrália
Austrália patch 1
- . ServiceNow AI Platform O Now traz uma nova experiência de IA com três níveis de licenciamento disponíveis:
- Base: Noções básicas de IA para fornecer informações
- Avançado: IA para aumentar a produtividade em casos de uso relevantes
- Prime: Aja de forma autônoma com todos os ativos de IA e crie o seu próprio
Dependendo da sua licença, você terá acesso a determinados recursos da aplicação, habilidades de IA generativa, fluxos de trabalho agentivos e agentes de IA.
- CrowdStrike Next-Gen SIEM integration
- Como administrador de perfil:
- Descobrir CrowdStrike Next-Gen SIEM detecções que são candidatas a incidentes de segurança e automatizam a criação desses incidentes de segurança.
- Criar perfis de detecção.
- Mapa CrowdStrike Next-Gen SIEM campos de detecção e eventos para SIR campos de incidente de segurança.
- Filtro CrowdStrike Next-Gen SIEM defeitos.
- Agregue detecções a incidentes de segurança em aberto existentes para que você não precise criar incidentes de segurança duplicados.
- Automatizar CrowdStrike Next-Gen SIEM atualizações de status de detecção para Resposta a incidentes de segurança.
- Sincronizar CrowdStrike Next-Gen SIEM comentários de detecção com SIR Anotações de trabalho.
- Components installed with Security Incident Response
- Uma nova função de administrador de perfil (sn_si.ingestion_profile_admin) fornece acesso para configurar plug-ins e permite criar, editar, excluir e gerenciar perfis para Splunk ES, Splunk Enterprise Event Ingestion e. Microsoft Azure Sentinel integração para Operações de segurança aplicação.
- Add unmatched affected user for security incidents
- A nova tabela "Usuários incompatíveis de incidentes de segurança" captura registros de usuários afetados incompatíveis para incidentes de segurança, permitindo que os analistas identifiquem e lidem com discrepâncias quando os registros de usuário não correspondem aos registros do sistema existentes.
- LLM-powered SIR integration builder
- Com as mais recentes integrações habilitadas por LLM no ServiceNow AI Platform, você pode criar integração pronta para o produto rapidamente. O construtor de integração com tecnologia LLM tem as seguintes capacidades:
- Gera automaticamente o código de integração a partir de uma documentação de API pública
- Fornece configuração assistida baseada em capacidades existentes
- Facilita a edição e a manutenção do código automático gerado
- MITRE D3FEND framework
- Os administradores de segurança agora podem ingerir dados DO MITRE D3FEND. Os analistas de segurança podem explorar as técnicas MITRE ATT&CK e D3FEND por meio de uma visualização interativa baseada em nó que mapeia técnicas de ataque, técnicas de defesa e artefatos relacionados em um Resposta a incidentes de segurança registro.
- Preserve marcadores de segurança manuais e restrinja a remoção
- Os marcadores de segurança manuais aplicados por analistas são preservados quando as regras de marcação automática são executadas em incidentes de segurança, evitando a remoção acidental de marcadores durante processos automatizados. Os analistas não podem mais remover manualmente marcadores de segurança depois de aplicados a um incidente, garantindo a consistência dos marcadores durante todo o ciclo de vida do incidente.
- Atribua relacionamentos primários a incidentes de segurança semelhantes
- Selecione vários incidentes de segurança semelhantes na lista relacionada Incidentes de segurança semelhantes e vincule-os como secundários ao incidente de segurança atual usando o. Vincular como secundários botão.
- View and update Security Incident Response system properties
- Exibir e atualizar propriedades do sistema específicas para Resposta a incidentes de segurança espaço diretamente da interface de configurações de administração do espaço.
- Create quick filters for Security Incidents and Response Tasks lists
- Habilite a filtragem rápida de listas de incidentes de segurança com base em critérios predefinidos criando e gerenciando filtros rápidos para as tabelas Incidente de segurança [sn.si.incident] e Tarefas de resposta [sn_si_task] no Espaço SIR. Os filtros são armazenados na tabela Filtros rápidos [sn_si_aw_quick_filters].
- Configure auto refresh interval for security incident lists
- Configure a atualização da lista de incidentes de segurança em intervalos especificados usando
sn_si_incident.auto_refresh_intervalpropriedade do sistema. A taxa de atualização padrão é de cinco minutos. - Controle o acesso do usuário externo ao incidente de segurança
- Os usuários do SOC podem conceder acesso somente leitura a incidentes de segurança específicos para usuários externos definidos por meio do Acesso ao incidente de segurança No espaço SIR.
- Configure default landing tab for security analysts
- Personalize a guia principal padrão para analistas de segurança e gerentes de segurança quando abrirem um incidente de segurança.
- Componha e-mails a partir das guias Tarefas de resposta e Investigação
- Envie e-mails sem precisar alternar guias compondo-os diretamente nas Tarefas de resposta e nas guias Investigação de um incidente de segurança.
- Configure default view for contextual menu
- Determine se o painel do menu contextual de um incidente de segurança é expandido ou recolhido por padrão quando um analista de segurança abre um incidente de segurança.
Alterado nesta versão
- Atribua grupos nas regras de atribuição de usuário do PIR
- As regras de atribuição de usuário para avaliações de revisão pós-incidente (PIR) no módulo SIR agora oferecem suporte à atribuição baseada em grupo, além da seleção de usuário individual. Você pode configurar regras de atribuição usando grupos. O PIR reflete automaticamente as atualizações de associação do grupo sem exigir edições manuais na configuração de regras de atribuição.
Informações de ativação
Instale Resposta a incidentes de segurança solicitando-o do ServiceNow Store. Visite ServiceNow Storepara exibir todos os apps disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
- Security Operations common functionality
- O plug-in Security Support Common é ativado quando qualquer um dos plug-ins da principal Operações de segurança aplicações ( Resposta a incidentes de segurança, Resposta a vulnerabilidades, Inteligência contra ameaças ou Conformidade de configurações) estão ativados.
Informações do plug-in
- Plug-in obsoleto
-
O plug-in a seguir foi descontinuado em Austrália:
Resposta a incidentes de segurança IU (sn_app_secops_ui) : Este plug-in foi substituído por Espaço de resposta a incidentes de segurança(sn_si_aw) .