脅威インテリジェンスセキュリティセンターリリースノート
ServiceNow® 脅威インテリジェンスセキュリティセンター アプリケーションを使用すると、組織はセキュリティチームと IT チームを接続して、脅威に迅速かつ効率的に対応できるようになります。脅威インテリジェンスセキュリティセンター は オーストラリア リリースで拡張および更新されました。
オーストラリア リリースでの 脅威インテリジェンスセキュリティセンター の特徴
- Have I been pwned? 統合による観察事項の拡張が導入され、アナリストは、メールアドレスとドメインの観察事項が既知のデータ侵害に表示されるかどうかを判断し、関連する侵害メタデータを確認できるようになりました。
- 脆弱性スキーマを強化して、CVSS スコアリング、エクスプロイトの詳細、修復情報などの追加のインテリジェンスフィールドと RSS フィード処理をサポートし、タグ、分類、有効期限などの追加フィールドをサポートし、RSS フィードを関連するアーティファクトにリンクできるようにしました。
- 関連製品、ベンダー、CWE、関連する修復、識別子、属性、ベンダーコメントなど、 脅威インテリジェンス ライブラリの脆弱性インテリジェンスを管理するためのサポートが追加されました。
- タグと分類を適用し、関連するテクニックを関連付けるための自動タグ付けと MITRE-ATT&CK 抽出ルールが追加されました。集計プロセス中に生成された重複ソースレコードの自動クリーンアップが追加されました。
- RSS フィードからのゼロデイ脆弱性の自動検出機能が追加され、相関関係が強化され、 セキュリティインシデントレスポンス ワークフローが簡素化され、 セキュリティインシデント に統合されたインテリジェンスコンテキストが追加され、脅威分析が迅速化されました。
詳細については、「Threat Intelligence Security Center」を参照してください。
重要:
脅威インテリジェンスセキュリティセンター は、ServiceNow Store で入手可能です。詳細については、これらのリリースノートの「アクティベーション情報」セクションを参照してください。
オーストラリア リリースの新機能
- Have I Been Pwned integration
- TISC for Have I been pwned? (HIBP) 観測事象の拡張にサポートが追加され、アナリストが既知のデータ侵害インスタンスで観測事象が公開されたかどうかを特定できるようになりました。
- Configure Tagging Rules in TISC
- タグと分類を適用するための構成可能なタグ付けルールを使用して、RSS フィードレコードの自動タグ付けが導入されました。
- Create a CWE record
- 関係リンクをサポートする関連エンティティとして CWE を導入しました。
- Create Remediations
- 関係リンクのサポートを含む関連エンティティとして修復が導入され、修復を管理するためのサポートが追加されました。
- Create a Product
- 関係リンクをサポートする関連エンティティとして製品を導入しました。
- Create a Vendor to a Vulnerability
- 関係リンクのサポートを持つ関連エンティティとしてベンダーを関連付けます。
- Automated creation of zero day vulnerability
- 脅威分析を強化するために、抽出およびリンクされた CPE、CWE、CVE の詳細を含む、フラグ付き RSS フィードからゼロデイ脆弱性レコードを自動的に生成します。カタログには Google Project Zero の RSS フィードが含まれるようになり、新たな脅威をリアルタイムで検出できるようになりました。
- Create Vulnerability Assessment from a Vulnerability
- 特定された問題から脆弱性アセスメントを直接開始して、リスク評価を迅速化します。アセスメントプロセスを自動化するためのサンプルワークフローとフローアクションが含まれています。
- Create Security Incident from a Vulnerability Record
- 検出された脆弱性からセキュリティインシデントレコードを直接作成して、インシデントレスポンスを促進し、脅威管理ワークフローを簡素化します。
- Enable security incidents for vulnerabilities
- セキュリティインシデントレスポンスワークスペース の [TISC コンテキスト] タブで脆弱性と関連インテリジェンスを表示し、アナリストが調査中に個別のレコードに移動することなくリスクデータにすばやくアクセスできるようにします。
UI の変更
- TISC Library Repository
- 観測事象、インジケーター、脅威エンティティ、RSS フィード、および脆弱性アーティファクトを適切なカテゴリにグループ化してナビゲーションを改善することで、 脅威インテリジェンス ライブラリのリストビューが拡張されました。
- Create Vulnerability Assessment from a Vulnerability
- 特定の脆弱性の脆弱性アセスメントを実施するための新しいボタン [ 脆弱性アセスメントを作成 ] が導入されました。
- Create Security Incident from a Vulnerability Record
- 脆弱性の特定を容易にし、脅威分析におけるより迅速なインシデント対応を可能にする新しいボタン [ セキュリティインシデントの作成 ] が導入されました。
- Threat Intelligence Security Center Catalog
- Google Project Zero の RSS フィードを含む新しいカタログエントリを導入し、新たな脅威をリアルタイムで検出できるようにしました。
このリリースでの変更
- MITRE ATT&CK Technique Extraction RulesおよびView extracted MITRE ATT&CK Techniques
- RSS フィードの MITRE-ATT&CK 抽出ルールを有効にして、 MITRE-ATT&CK テクニックをマッピングして関連付けるようになりました。
- View RSS Feeds
- RSS フィードスキーマとパーサーが拡張され、タグ、分類、ステータス、有効期限などの追加フィールドがサポートされるようになりました。
- Export intelligence data、Sharing of Outbound Intelligence Records from GUI、および Add to TAXII Collections from Library List View
- STIX 2.1 エクスポートが拡張され、インテリジェンスオブジェクトに適用される TLP (Traffic Light Protocol) 定義が TLP 2.0 マーキング定義オブジェクトとして含まれます。詳細については、「Marking Definition」を参照してください。
- System properties for TISC Reports
- システムプロパティ
sn_sec_tisc.reporting.email_template_sn_sec_tisc_caseは、 TISC のサポートが終了しました。最新リリースからsn_sec_tisc.default_report_email_templateに名前が変更されました。
- Configure custom MISP API feed
- 公開されたタイムスタンプが変更されたタイムスタンプより大きい場合にイベントを処理するように拡張された MISP API フィードの取り込み。
- Define VulnerabilityおよびAccess the Vulnerability Entities
- 脆弱性スキーマが拡張され、CVSS スコアリング、エクスプロイトの詳細、および修復情報に関連する追加の脆弱性インテリジェンスフィールドがサポートされるようになりました。
アクティベーション情報
ServiceNow Store から要求して脅威インテリジェンスセキュリティセンターをインストールします。ServiceNow ストア Web サイトにアクセスして、利用可能なすべてのアプリを表示し、要求をストアに送信する方法について確認してください。リリースされたすべてのアプリのこれまでのリリースノート情報については、「ServiceNow Store のバージョン履歴リリースノート」を参照してください。