Noções básicas do Security Operations

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Security Operations O traz dados de incidentes de suas ferramentas de segurança para um mecanismo de resposta estruturado que usa fluxos de trabalho inteligentes, automação e uma conexão profunda com a TI para priorizar e resolver ameaças com base no impacto que elas representam para a organização.

    Security Operations em resumo

    O ecossistema Security Operations pode ser configurado de várias maneiras, dependendo das necessidades da sua empresa e dos produtos Security Operations que você licencia. O diagrama a seguir fornece o fluxo de um sistema Security Operations básico.

    Security Operations
    1. A primeira etapa é usar a aplicação ServiceNow Discovery para encontrar aplicações e dispositivos em sua rede e, em seguida, atualizar o ServiceNow Configuration Management Database (CMDB).
    2. Integre suas ferramentas existentes do Gerenciador de informações e eventos (SIEM) com aplicações Security Operations para importar dados de ameaça (por meio de APIs ou alertas de e-mail) e criar automaticamente incidentes de segurança priorizados.
    3. Use fluxos de trabalho e a aplicação Vulnerability Response para priorizar instantaneamente eventos, incidentes de segurança e vulnerabilidades.
    4. Aprimore os dados usando a aplicação Inteligência contra ameaças, bem como outros recursos de operações de inteligência artificial ou aprendizado de máquina.
    5. Use Gestão de riscos e outras aplicações Governança, risco e conformidade para identificar, avaliar, responder e monitorar continuamente os riscos empresariais e de TI que podem afetar negativamente as operações de negócios.
    6. Os fluxos de trabalho integrados a todas as aplicações Security Operations eliminam as suposições e o trabalho árduo da correção.
    7. Veja instantaneamente informações detalhadas sobre sua postura de segurança usando painéis.

    Conectar segurança com TI

    Usando Security Operations, os analistas de segurança e os gerentes de vulnerabilidade podem se comunicar perfeitamente com a TI trabalhando em uma plataforma unificada. Você pode entregar patches e outras tarefas para a TI enquanto ainda mantém a visibilidade das tarefas. O roteamento baseado em habilidades atribui tarefas aos respondentes corretos e os acordos de nível de serviço garantem que o trabalho seja realizado a tempo.

    O Now Platform facilita uma colaboração mais rápida entre a equipe de segurança e de TI; no entanto, os dados de segurança confidenciais ainda são protegidos por funções de usuário. Isso significa que o acesso aos dados de segurança pode ser restrito a usuários com a função de administrador, a menos que eles também tenham uma função de segurança.
    Figura 1. Operações de TI e segurança trabalhando na Now Platform
    Security Operations e TI

    Acompanhamento visual da sua segurança

    Security Operations O oferece painéis e relatórios baseados em função que você pode personalizar para mostrar o status da sua segurança. Todos os incidentes e vulnerabilidades de segurança, com contexto aprimorado, mostram visualmente como seus serviços de negócios críticos estão sendo afetados pelas ameaças. Painéis aprimorados com o produto ServiceNow Performance Analytics mostram o status do seu desempenho de segurança ao longo do tempo, para que você possa acompanhar como sua postura de segurança está melhorando.
    Figura 2. Como rastrear sua postura de segurança em uma exibição conveniente
    Visão geral do Security Operations

    O pacote Security Operations de aplicações

    Usando o poder das aplicações Now Platform, Security Operations, você pode escalonar sua solução de segurança de acordo com as necessidades do seu negócio e os tipos de ameaças cibernéticas que você enfrenta.

    Como as peças Security Operations se encaixam

    Conforme mostrado, Security Operations parece ser um quebra-cabeça. Mas quando as peças são encaixadas e você revela a imagem, o poder e a flexibilidade do Now Platform se tornam aparentes. Cada aplicação e a outra aplicação em que cada uma toca são descritas nas seções subsequentes.
    Nota:
    As aplicações Governance, Risk, and Compliance (GRC) não estão incluídas no pacote de aplicações Security Operations. No entanto, eles se integram e compartilham dados com Security Operationse, portanto, estão incluídos nas descrições e nos diagramas a seguir.
    Figura 3. O pacote Security Operations (clique na imagem para ampliar)
    O pacote de aplicações Security Operations

    A aplicação Security Incident Response

    No centro do ecossistema Security Operations está a aplicação Security Incident Response (SIR). Security Incident Response simplifica o processo de identificação de incidentes críticos aplicando fluxo de trabalho avançado e ferramentas de automação que aceleram a correção. Integre suas ferramentas existentes do Gerenciador de informações e eventos (SIEM) com aplicações Security Operations para importar dados de ameaça (por meio de APIs ou alertas de e-mail) e criar automaticamente incidentes de segurança priorizados.

    Existem muitos caminhos no ecossistema Security Operations para a criação automática e manual de incidentes de segurança, conforme ilustrado.
    Figura 4. Como Security Incident Response funciona com outras aplicações Security Operations (clique na imagem para ampliar)
    Como os produtos de segurança e risco se integram ao Security Incident Response

    Você pode exibir e rastrear facilmente as tarefas de resposta. Usando limites de ANS, Security Incident Response notifica os analistas atribuídos a tarefas se elas não forem concluídas a tempo ou se as tarefas forem escalonadas automaticamente, dependendo de como o sistema está configurado. Portanto, nenhuma tarefa é ignorada e nenhuma decisão é ignorada. Além disso, os analistas podem manter proativamente as partes interessadas informadas de dentro do Now Platform por meio de chamadas em conferência ou usando o recurso de bate-papo do Connect.

    O Security Incident Response automatiza tarefas básicas, como solicitações de aprovação, verificações de malware ou aprimoramento de dados de ameaça quando o SIR está integrado à aplicação ServiceNow Inteligência contra ameaças. Esse tipo de automação acelera a resposta do incidente e permite que a equipe de segurança passe mais tempo na busca de ameaças complexas e críticas. Os pacotes de orquestração para produtos de segurança integrados automatizam ações repetidas com frequência, como solicitações de bloqueio de firewall, de dentro de Security Operations. Os Playbooks permitem resolver determinados tipos de ameaças à segurança passo a passo. Por exemplo, você pode resolver ataques de phishing e ameaças causados por atividade de código mal-intencionado usando playbooks.

    Todas as atividades de incidente, desde análise e investigação, até contenção e correção, são rastreadas na plataforma. Quando um incidente é encerrado, uma revisão pós-incidente é distribuída a todos os membros da equipe para criar um registro de auditoria histórico para referência futura.
    Nota:
    Para obter mais informações, consulte Noções básicas do Security Incident Response.

    A aplicação Vulnerability Response

    A aplicação Vulnerability Response ajuda a priorizar seus ativos vulneráveis e adiciona contexto para ajudá-lo a determinar quando sistemas críticos para os negócios estão ameaçadas. Usando o CMDB, Vulnerability Response também pode identificar facilmente dependências entre sistemas e avaliar rapidamente o impacto nos negócios de mudanças ou tempos de inatividade. Você pode exibir todas as vulnerabilidades que afetam um determinado serviço, bem como o estado atual de todas as vulnerabilidades que afetam sua organização.

    As equipes de resposta também podem aproveitar o fluxo de trabalho e as ferramentas de automação no Now Platform para corrigir vulnerabilidades mais rapidamente. Quando vulnerabilidades críticas são encontradas, um fluxo de trabalho pode iniciar automaticamente uma solicitação de aprovação de patch de emergência. Depois de aprovadas, as ferramentas de orquestração podem aplicar o patch e acionar uma verificação de vulnerabilidade adicional para garantir que o problema seja resolvido.

    Para patches não urgentes, basta clicar em um botão para criar uma solicitação de mudança e enviar as informações relevantes para a TI. Isso resulta em uma estratégia de correção coordenada para vulnerabilidades em serviços e ativos que podem lidar com os itens mais críticos rapidamente.
    Figura 5. Como Vulnerability Response funciona com outras aplicações Security Operations
    Como os produtos de segurança e risco se integram ao Vulnerability Response
    Nota:
    Para obter mais informações, consulte Explorando a aplicação Vulnerability Response.

    A aplicação Inteligência contra ameaças

    O Security Operations inclui uma aplicação de inteligência contra ameaças para ajudar os respondentes do incidente a encontrar Indicadores de compromisso (IoC) e a buscar ataques e ameaças de baixa visibilidade. Ele pesquisa automaticamente os feeds de ameaças em busca de informações relevantes quando um IoC está conectado a um incidente de segurança e pode enviar IoCs para fontes de terceiros para análise adicional. Os resultados são relatados diretamente no registro de incidente de segurança para o analista revisar, economizando um tempo valioso. ServiceNow oferece suporte a vários feeds de ameaças, bem como STIX e TAXII, para incorporar dados de inteligência contra ameaças de várias fontes.
    Figura 6. Como Inteligência contra ameaças funciona com outras aplicações Security Operations
    Como os produtos de segurança e risco se integram à Inteligência contra ameaças
    Nota:
    Para obter mais informações, consulte.Noções básicas do Inteligência contra ameaças.

    A aplicação Configuration Compliance

    O software configurado incorretamente coloca as organizações em risco de comprometimento. Configuration Compliance prioriza e corrige ativos configurados incorretamente usando dados coletados de verificações de avaliação de configuração de segurança de terceiros. Ele aproveita o CMDB para determinar quais itens são mais críticos. Fluxos de trabalho e automação permitem uma ação rápida em relação a ativos individuais ou grupos para mudanças em massa.

    Coordene facilmente com a TI em uma única plataforma para lidar com mudanças e atualizações. Além disso, os dados de Configuration Compliance podem ser alimentados no recurso de monitoramento contínuo de ServiceNow Governança, risco e conformidade para reduzir ainda mais o risco.
    Figura 7. Como Configuration Compliance funciona com outras aplicações Security Operations
    Como os produtos de segurança e risco se integram ao Configuration Compliance
    Nota:
    Para obter mais informações, consulte Explorar o Configuration Compliance.

    As aplicações Governança, risco e conformidade

    As aplicações ServiceNow Governança, risco e conformidade (GRC) ajudam a transformar processos ineficientes em sua empresa estendida em um programa de risco integrado. Por meio de monitoramento e automação contínuos, ServiceNow oferece uma exibição em tempo real de conformidade e risco, melhora a tomada de decisão e aumenta o desempenho em sua organização e com fornecedores. Somente ServiceNow pode conectar negócios, segurança e TI com uma estrutura de risco integrada que transforma processos manuais, isolados e ineficientes em um programa unificado criado em uma única plataforma.
    • Gestão de riscos – Detecte e avalie a probabilidade e o impacto nos negócios de um evento com base em dados agregados em sua empresa estendida e responda a mudanças críticas na postura de risco.
    • Policy and Compliance Management – Automatize os ciclos de vida das práticas recomendadas, unifique os processos de conformidade e forneça garantias sobre sua eficácia.
    • Audit Management –Defina o escopo e priorize compromissos de auditoria usando dados de risco e informações de perfil para eliminar descobertas de auditoria recorrentes, aprimorar a garantia de auditoria e otimizar recursos em torno de auditorias internas.
    • Gestão de riscos do fornecedor –Institua um processo padronizado e transparente para gerenciar o ciclo de vida das avaliações de riscos, due diligence e resposta a riscos com parceiros de negócios e fornecedores.
    Figura 8. Como as aplicações Governança, risco e conformidade funcionam com aplicações Security Operations (clique na imagem para ampliar)
    Como os produtos de segurança e risco se integram ao Governance, Risk, and Governance
    Nota:
    Para obter mais informações, consulte Governance, Risk, and Compliance.