Composants installés avec Réponse aux incidents de sécurité
Plusieurs types de composants sont installés lorsque vous téléchargez et activez l’application, notamment les rôles d’utilisateur, les tables, les propriétés et les Réponse aux incidents de sécurité travaux planifiés.
Remarque :
La table Fichiers d'application répertorie les composants installés avec cette application. Pour savoir comment accéder à cette table, consultez Trouver les composants installés avec une application.
Des données de démonstration sont disponibles pour cette fonctionnalité.
Propriétés installées
Les utilisateurs ayant le rôle System administrator (Administrateur système) [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
| Propriété | Utilisation |
|---|---|
| Les nœuds de catégorie par défaut affichés dans l’onglet Graphe des relations de l’espace de travail. Les valeurs par défaut représentent les noms de tables correspondant aux enregistrements connexes. sn_si_aw.defaultCategories |
|
| L'heure de début par défaut pour tous les agents quand aucune planification n'est définie, au format suivant : 08:00 sn_si.default.start.time |
|
| Heure de fin par défaut pour tous les agents quand aucun calendrier n'est défini, au format suivant : 17:00 sn_si.default.end.time |
|
| Inclure les observables de type Destination ainsi que d'autres observables de type contexte dans les relations entre l'utilisateur de l'incident de sécurité et le CI sn_si.link_dest_ip |
Détermine si un observable d’incident de sécurité avec un type de contexte Destination s’affiche sous les onglets Éléments de configuration ou Utilisateurs affectés . Par défaut, les observables ayant un type de contexte Destination sont exclus. Pour inclure les observables, choisissez Oui. |
| Autoriser la personnalisation lors de la création d’un problème ou d’une demande de changement à partir d’un incident de sécurité sn_si.popup |
Lorsqu’un problème ou un changement est créé, cette propriété ouvre une fenêtre contextuelle pour modifier la demande. Si ces propriétés sont définies sur faux, le problème ou la demande de changement aura la même priorité, la même description brève et la même description que l’incident de sécurité, sans possibilité d’ajouter ou de modifier ces champs.
|
| Associez les résultats de la recherche de perception aux CI dans la CMDB. sn_si.associate_ci_with_sighting_search |
Lorsque la valeur est définie sur vrai, les résultats de la recherche de perceptions incluent les éléments de configuration associés qui se trouvent dans votre CMDB.
|
| Le score de risque dans la plage est en surbrillance verte, au format 0-49 sn_si.risk.score.green |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 0 et 49 sont marqués d’un point vert. |
| Le score de risque dans la plage est en surbrillance orange, au format 50-79 sn_si.risk.score.orange |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 50 et 79 sont marqués d’un point orange. |
| Le score de risque dans la plage est en surbrillance rouge, au format 80-100 sn_si.risk.score.red |
Dans la liste des incidents de sécurité, les incidents de sécurité dont le score de risque est compris entre 80 et 100 sont marqués d’un point rouge. |
| Ce paramètre active ou désactive les configurations de recherche de perceptions qui ont implémenté cette fonctionnalité. sn_si.enable_sighting_search |
Lorsque la valeur est définie sur vrai, des recherches de perception peuvent être effectuées sur les intégrations activées.
|
| Nombre de lignes de données brutes qui sont enregistrées lors de l’exécution d’une recherche d’observations. Plage 0-100 sn_si. lignes_données_brutes_sighting_search_ |
Cette propriété est définie par défaut sur 50 lignes de données brutes. La moitié des lignes de résultats sont signalées à partir du début de la période de recherche et l’autre moitié à partir de la fin de la période de recherche. Ainsi, si vous sélectionnez 50 lignes, 25 proviennent du début de la période de recherche et 25 de la fin de la période de recherche. |
| Faire passer automatiquement l'état de l'incident à Maîtriser lorsqu'une tâche de réponse passe à Travail en cours sn_si.rollup_task_state |
Lorsque vous utilisez des flux ou des workflows, envisagez de définir cette propriété sur faux. Cela vous permet de contrôler l’état de l’incident à partir des flux ou des workflows. Cela permet également d’éviter tout conflit potentiel lors de la transition d’un état d’incident à un autre.
|
| Propriétés de l’affectation pour Réponse aux incidents de sécurité | |
| Poids de l'emplacement sn_si.location.weight |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, l’emplacement est pris en compte pour une tâche, la valeur de pondération de l’emplacement est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Poids des compétences sn_si.skills.weight |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, les compétences sont prises en compte pour une tâche, la valeur de pondération des compétences est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Définir le nombre maximal d’analystes de sécurité à traiter par affectation automatique à un moment donné sn_si.max.agents.traités |
Le système a une limite absolue de 300 analystes de sécurité. Si vous spécifiez plus de 300, la valeur est définie à ce niveau. Le système ne peut pas répartir automatiquement une tâche pour un groupe de répartition qui contient plus d’analystes de sécurité que la valeur configurée.
|
| Poids du fuseau horaire sn_si.timezone.weight |
Évaluation utilisée lors du calcul des critères à utiliser pour l’affectation automatique d’un analyste de sécurité. Si, par exemple, le fuseau horaire de l’analyste de sécurité est pris en compte pour une tâche, la valeur de poids du fuseau horaire est ajoutée à l’évaluation de l’analyste de sécurité.
|
| Durée (en minutes) pour ajouter entre la fin d’une tâche et le début de déplacement de la suivante. sn_si.espacement.travail |
10 est un exemple de valeur de temps valide.
|
Champs de journal spécifiés contenant des balises de code qui restituent le contenu au format HTML.sn_si.journal_field.html_enabled |
|
| Calculez les services impactés en arrière-plan. sn_si.refresh_impacted.event |
La liste connexe des services affectés et des CI impactés est générée par le biais d’événements. Lorsqu’elle est activée, l’actualisation est exécutée en arrière-plan et des balises de sécurité sont ajoutées à l’incident. Définissez la valeur sur vrai pour effectuer l’opération en arrière-plan.
|
| Récupérez le service critique à partir de données précalculées. sn_si.critical_service.calculator.use_cache |
Permet au calculateur de services critiques d’utiliser des données précalculées d’éléments de configuration. Définir la valeur sur vrai pour effectuer une recherche à partir de données précalculées
|
Rôles installés
| Titre du rôle [name] | Description | Contient les rôles |
|---|---|---|
| Administrateur des incidents de sécurité [sn_si.admin] |
Contrôle total de toutes les Réponse aux incidents de sécurité données. Administre également les territoires et les compétences, selon les besoins. Remarque : Dans le système de base, l’administrateur a également accès à sn_si.admin. Réponse aux incidents de sécurité peut être restreint par l’administrateur tant qu’au moins un autre utilisateur est affecté au rôle d’administrateur de sécurité. |
|
| Administrateur de profil [sn_si.ingestion_profile_admin] |
Configurez les modules d’extension, créez, modifiez, supprimez et gérez les profils pour Splunk, Splunk ES et l’intégration d’Azure Sentinel pour les opérations de sécurité. Remarque : Les utilisateurs disposant du rôle sn_si.admin peuvent effectuer toutes les opérations disponibles pour un administrateur de profil, car le rôle sn_si.admin hérite des autorisations requises par défaut. Le rôle sn_si.ingestion_profile_admin peut être affecté à des utilisateurs par le sn_si.admin. |
N/A |
| Analyste des incidents de sécurité [sn_si.analyste] |
Gérer les incidents de sécurité. Rôle sous-jacent de l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour les incidents de sécurité, les demandes et les tâches, ainsi que les problèmes, les changements et les pannes liés à leurs incidents. |
|
| Incident de sécurité de base [sn_si.basique] |
Rôle sous-jacent de l’accès de sécurité de base. Les utilisateurs disposant de ce rôle peuvent créer et mettre à jour les incidents de sécurité, les demandes et les tâches, ainsi que les problèmes, les changements et les pannes liés à leurs incidents. |
|
| Directeur de la sécurité de l'information (CISO) [sn_si.ciso] |
Affichez et manipulez le tableau de bord du CISO. En outre, si le module d’extension est activé, les utilisateurs disposant de Réponse aux vulnérabilités ce rôle peuvent ajouter des treemaps de définition de l’importance de la vulnérabilité au tableau de bord. Vous pouvez également faire la même chose avec Réponse aux incidents de sécurité le plugin. |
|
| Incident de sécurité externe [sn_si.externe] |
Affichez tous les incidents de sécurité qui appartiennent à leur groupe particulier. Remarque : Les deux règles suivantes s’appliquent partout ServiceNow , indépendamment de l’administrateur inclus dans le champ d’application ou de l’application du champ d’application.
|
service_fulfiller |
| Utilisateur d’intégration des incidents de sécurité [sn_si.integration_user] |
Des outils externes peuvent fournir de nouveaux enregistrements d’incidents de sécurité et mettre à jour les enregistrements d’incidents de sécurité. | import_transformer |
| Administrateur de la base de connaissances des incidents de sécurité [sn_si.knowledge_admin] |
Gérez, mettez à jour et supprimez les informations de la base de connaissances des incidents de sécurité. |
|
| Gestion des incidents de sécurité [sn_si.responsable] |
Même accès que les analystes de sécurité. |
|
| Lecture des incidents de sécurité [sn_si.lire] |
Lire les incidents de sécurité. |
|
| Gestionnaire d’accès pour restrictions de sécurité [sn_si.restriction_access_manager] | Permet aux utilisateurs ou aux groupes d'« appliquer la restriction » sur les incidents de sécurité. Cela ne s’applique qu’aux changements de champ. | N/A |
| Accès spécial aux incidents de sécurité sn_si.accès_spécial |
Permet d’accéder à des incidents de sécurité spécifiques à des utilisateurs extérieurs à l’organisation Security Operations. | N/A |
| Activateur d’accès spécial de sécurité [sn_si.special_access_enabler] | Fournit un rôle d’accès spécial à un utilisateur extérieur à l’organisation Security Operations pour des incidents de sécurité spécifiques. | N/A |
| Gestionnaire de lecture pour accès spécial aux incidents de sécurité [sn_si.special_access_read_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès en lecture du formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
| Gestionnaire d’enregistreur d’accès spécial aux incidents de sécurité [sn_si.special_access_write_manager] | Gérez le rôle Accès spécial aux incidents de sécurité [sn_si.special_access]. Utilisez ce rôle pour modifier le champ Accès privilégié du formulaire d’incident de sécurité. Ce rôle peut être affecté par sn_si.admin. | sn_si.special_access_enabler |
Travaux planifiés installés
| Tâche planifiée | Description |
|---|---|
| Rechercher les observables de l’incident de sécurité | Effectue une recherche d’observables selon un calendrier défini par l’utilisateur. |
Tables installées
| Table | Description |
|---|---|
| Configuration du flux d'actualités [sn_si_feed_configuration] |
Enregistrements de configuration utilisés pour définir le contenu affiché dans le flux d’actualités des incidents de sécurité. |
| Règle d'affectation de revue post-incident [sn_si_pir_condition] |
Automatise la sélection des participants à une enquête de revue post-incident lorsqu’un incident de sécurité est fermé. |
| Incident de sécurité [sn_si_incident] |
Stocke un incident de sécurité, les réponses à l’incident, toutes les tâches connexes, les changements, les problèmes et les incidents liés à cet incident de sécurité. |
| Vecteurs d'attaque des incidents de sécurité [sn_si_attack_vector] |
Options de vecteur d’attaque. |
| Journal d'audit des incidents de sécurité [sn_si_audit_log] |
Stocke les journaux d’audit d’enrichissement des incidents de sécurité. |
| Calculateur d'incidents de sécurité [sn_si_calculator] |
Calculateur permettant de définir certains champs d’incident de sécurité lorsque certaines conditions sont remplies. |
| Groupe de calculateurs d'incidents de sécurité [sn_si_calculator_group] |
Regroupement de calculateurs d’incident de sécurité. L’ordre du groupe de calculateurs détermine quel groupe est évalué en premier, et dans chaque groupe, un calculateur au maximum est utilisé. |
| Pare-feu d’enrichissement des incidents de sécurité [sn_si_enrichment_firewall] |
Étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques au pare-feu Palo Alto Networks. |
| Résultats d’enrichissement des incidents de sécurité liés aux programmes malveillants [sn_si_enrichment_malware] |
Étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux programmes malveillants. |
| Statistiques réseau d’enrichissement des incidents de sécurité [sn_si_enrichment_network_statistics] |
Étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux statistiques réseau. |
| Enrichissement des incidents de sécurité : processus en cours [sn_si_enrichment_running _processes] |
Étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux processus en cours d’exécution. |
| Enrichissement des incidents de sécurité Services d’exécution [sn_si_enrichment_running_service] |
Étend à partir de la table de base (sn_sec_cmn_enrichment_data_base) et inclut tous les enregistrements d’enrichissement spécifiques aux services en cours d’exécution. |
| Recherche d'e-mails d'incidents de sécurité [sn_si_m2m_incident_email_search] |
Mappe les enregistrements de recherche d’e-mails aux incidents de sécurité. |
| Importation des incidents de sécurité [sn_si_incident_import] |
Table à importer pour les incidents de sécurité. Utilisée pour créer des incidents de sécurité à partir de systèmes externes. |
| Définition de processus d'incident de sécurité [sn_si_process_definition] |
Stocke la configuration des flux de processus des incidents de sécurité. |
| Sélecteur de définitions de processus d'incidents de sécurité [sn_si_process_definition_selector] |
Stocke la définition de processus d’incident de sécurité à utiliser pour les incidents de sécurité. |
| Incident de sécurité associé au ticket du service clientèle [sn_si_m2m_incident_customerservice_case] |
Mappe les tickets du service clientèle et les incidents de sécurité |
| Données d'enrichissement associées aux incidents de sécurité [sn_si_m2m_incident_enrichment] |
Mappe les incidents de sécurité et les enregistrements de données d’enrichissement connexes. |
| Réponse aux incidents de sécurité Tâche [sn_si_task] |
Gère les sous-tâches liées à la gestion d’un incident de sécurité. Ces tâches peuvent être affectées au personnel de sécurité ou à des personnes d’autres départements pour gérer la communication interdépartementale et le suivi des tâches. |
| Réponse aux incidents de sécurité Modèle de tâche [sn_si_task_template] |
Utilisé pour créer une Réponse aux incidents de sécurité tâche. Ces modèles sont souvent utilisés dans les entrées de catalogue, afin de créer automatiquement un ensemble de sous-tâches appropriées pour un type particulier d’incident de sécurité. |
| Document Runbook des incidents de sécurité [sn_si_runbook_document] |
Associe les conditions ou les filtres d’incident de sécurité à un article de la base de connaissances. Utilisé pour spécifier les procédures de runbook pour la remédiation des incidents de sécurité. |
| Modèle d'incident de sécurité [sn_si_incident_template] |
Utilisée pour créer un incident de sécurité. Ces modèles sont souvent utilisés dans les entrées de catalogue pour créer un incident de sécurité prédéfini. |
| Demande de sécurité [sn_si_request] |
Une demande liée à la sécurité à l’équipe de sécurité. |
| Demande d'analyse de sécurité [sn_si_scan_request] |
Une demande de recherche de menaces. |
| Calculateur de gravité sn_si_severity_calculator |
Définit les valeurs de gravité, d’impact, de risque et de criticité d’un incident de sécurité. |
| Tâche Utilisateur concerné [sn_si_m2m_task_affected_user] |
Table plusieurs-à-plusieurs associant les incidents de sécurité aux utilisateurs affectés. |
| Évaluateur de résultats de l'activité du workflow de modèle [sn_si_wf_activity_outcome_evaluator] |
Mappe une option avec un script d’évaluation. Un nouveau flux secondaire peut être ajouté à un workflow de modèle pour définir un résultat de tâche de réponse plutôt que d’être défini manuellement par un analyste. |