提供される ServiceNow 統合のタイプ

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • セキュリティオペレーション アプリケーション (セキュリティインシデントレスポンス脅威インテリジェンス、および 脆弱性対応) は、他の ServiceNow アプリケーションとシームレスに統合して機能を拡張できます。

    次の統合は セキュリティオペレーション ベースシステムで提供されます。

    セキュリティインシデントレスポンス – イベント管理統合

    イベント管理 アプリケーションの機能が セキュリティインシデントレスポンス をサポートするように拡張されました。セキュリティインシデントレスポンス イベント管理 サポートプラグインは、イベント管理 内のイベントの内容を自動的に解析して、セキュリティインシデントのフィールドに入力します。

    対象となるユースケース:

    セキュリティ情報と イベント管理 (SIEM) ツールからの イベント管理 システムでのセキュリティイベントの作成

    提供される便利な機能:
    • イベント管理機能:イベント相関、イベントルール、アラートルール
    • 結果のセキュリティインシデントへの additional_information 値の自動マッピング

    リソース:

    セキュリティインシデントイベント管理サポートに関するドキュメント

    イベント管理に関するドキュメント

    セキュリティインシデントレスポンス - インポートセット API 統合

    セキュリティインシデントレスポンス アプリケーションは、イベント管理 を使用してセキュリティ関連イベントをプッシュするだけでなく、セキュリティインシデントを直接作成できるインポートセット API を提供します。セキュリティインシデントインポートセットの REST エンドポイントは、http://localhost:8080/api/now/import/sn_si_incident_import です。

    この統合テクニックは、a) イベント管理 がインストールされていない場合、または b) イベント管理 を使用するときに必要なイベント > アラート > セキュリティインシデントフローを経由せずに単にセキュリティインシデントを作成する場合に便利です。

    対象となるユースケース:

    SIEM ツールから直接セキュリティインシデントを作成する。

    提供される便利な機能:

    IP、NetBIOS、または完全修飾ドメイン名に基づくセキュリティインシデント作成時の自動 CI 照合。

    リソース:

    プラットフォームインポートセット API ドキュメント

    セキュリティインシデント Web サービスインポートセットに関するドキュメント

    脅威インテリジェンス - ルックアップソース統合

    ルックアップソースを使用すると、外部のルックアップソースにデータを送信して、そのデータが悪意のあるものかどうかを判断できます。通常、そのデータは IP アドレス、URL、ファイル、またはファイルハッシュです。

    対象となるユースケース:

    外部ルックアップサービスで IP アドレス、URL、ファイル、またはハッシュを検索します。

    提供される便利な機能:

    • カタログアイテムとセキュリティインシデントからルックアップを要求する一貫した方法。
    • コーディングをほとんど/まったく使用せずに提供されるレート制限およびスロットリング機能。
    • ルックアップソースによって検出された問題に対するセキュリティ侵害のインジケーター (IoC) の観測可能エントリーの自動作成。

    脅威インテリジェンス - 脅威ソース統合

    脅威ソースは、外部の脅威インテリジェンスリポジトリからデータをプルする機能を提供します。このデータは、システム内に存在するさまざまなセキュリティ侵害のインジケーターテーブルにインポートされます。TAXII 収集と簡易ブロックリストがネイティブにサポートされています。新しい TAXII 収集 (または検出または収集管理サービスに基づくプロファイル) は、エントリーを追加するのと同じくらい簡単です。同様に、新しいシンプルな 1 列のブロックリストを追加するには、新しいレコードを入力し、ブロックリストの URL を指定します。より複雑なデータセットの場合は、URL を呼び出して応答を解析するカスタム統合を提供できます。

    対象となるユースケース:

    脅威インテリジェンスソースからデータを取得して IoC テーブルにロードします。

    提供される便利な機能:

    • コーディングなしで簡単なブロックリストと TAXII 収集をサポート。
    • データを取得するための REST メッセージを実行するためのシンプルなメカニズム。
    • 統合コンポーネントの再利用性のためのデータ取得/処理の分離。
    • データソース (およびインポートセット/変換マップ) に返されるデータの受け渡しを処理するためのネイティブサポート。
    • 後続の呼び出しにコンテキストを渡す機能により、統合ごとに複数のデータ要求をサポート(ページネーションされた呼び出し)。

    リソース:

    脅威のソースを定義する

    脆弱性対応:スキャナー発動統合

    脆弱性スキャナーの発動は、インスタンスからの脆弱性スキャンの呼び出しをサポートする軽量の統合エントリーポイントです。サードパーティの脆弱性スキャナーが非同期に呼び出され、構成アイテムまたは IP アドレスのスキャンがスケジュールされます。

    対象となるユースケース:

    CI (CI から派生したホスト情報を使用) または IP アドレスをスキャンするようにサードパーティスキャナーに要求します。

    提供される便利な機能:

    • スキャナー実装を定義するためのシンプルなフレームワーク。
    • カタログアイテム、セキュリティインシデントおよび脆弱性一致アイテムからスキャンを要求する一貫した方法。
    • スキャン発動の結果によるタスクの自動更新。

    脆弱性対応:データ統合

    脆弱性データ統合は、サードパーティの脆弱性システムから脆弱性データを取得することを目的としています。これらの統合から期待される出力は、脆弱性エントリーと脆弱性一致アイテムです。この統合により、サードパーティの脆弱性スキャナーが独立して機能し、インスタンス内で脆弱性を処理および追跡できます。

    対象となるユースケース:

    • 脆弱性ライブラリの取得
    • 脆弱性/CI のペアリングの取得
    • CI と脆弱性管理システムの同期
    提供される便利な機能:
    • 統合コンポーネントの再利用性のためのデータ取得/処理の分離。
    • データソース (およびインポートセット/変換マップ) に返されるデータの受け渡しを処理するためのネイティブサポート。
    • 後続の呼び出しにコンテキストを渡す機能により、統合ごとに複数のデータ要求をサポート (ページネーションされた呼び出し)。

    リソース:

    脆弱性データ統合に関するドキュメント