Estrutura de capacidades de integrações 2.0

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 12 min. de leitura

    • A nova Estrutura de capacidades de integração 2.0 foi redesenhada para permitir a implementação de integrações de maneira simples e consistente. Isso garante uma experiência consistente para tipos semelhantes de integrações (por exemplo: pesquisa de reputação de observável).

    A nova estrutura tem capacidades implementadas usando fluxos.

    Os benefícios da implementação da estrutura aprimorada incluem:

    • Os fluxos de capacidade que incluem somente componentes de nível de negócios sem qualquer lógica específica de implementação.
    • Os fluxos de capacidade agora aceitam uma ampla matriz de entradas e formatos para máxima flexibilidade (por exemplo, referências observáveis, referências de IC, tarefas, qualquer tabela ou combinações de sys_id).
    • A limitação ou limitação de taxa nas execuções de integração agora é fácil de configurar (removendo a necessidade de fazer isso usando código personalizado ou mudanças nos fluxos de trabalho de implementação).
    • As capacidades aprimoradas de auditoria e acompanhamento de execução agora permitem melhores relatórios e uma solução de problemas mais fácil.
    • Funções robustas de manipulação de erros são integradas aos fluxos de capacidade para evitar a duplicação de rotinas de implementação.
    • Capacidade de configurar o gatilho condicional das capacidades ou das integrações. Isso fornece flexibilidade para iniciar automaticamente automações com base na categoria de incidente.
    • Uma condição de filtro padrão foi introduzida em todas as capacidades para filtrar observáveis permitidos listados antes que as entradas sejam fornecidas para as integrações.
    Nota:
    Esta nova estrutura de capacidades não atualiza a estrutura de capacidades atual. Ambas as estruturas podem funcionar em paralelo. Para obter instruções sobre como aproveitar a nova estrutura de capacidades, consulte Como usar o novo Capability Framework com uma integração instalada e Como usar o novo Framework de capacidade com um fluxo.

    Integrações e componentes compatíveis

    O plug-in Security Incident Response inclui todos os fluxos de capacidade listados no Integration Capabilities Framework 2.0 e filtros padrão de alto nível que você pode habilitar ou desabilitar dependendo dos seus requisitos.

    Nota:
    Se você quiser usar o novo Capability Integration Framework com a versão New York, deverá instalar o plug-in ServiceNow IntegrationHub Starter Pack Installer. Entre em contato com o Suporte ao cliente para obter assistência com a instalação.

    Versões da aplicação compatíveis

    A partir do Security Incident Response 10.0, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Integração de análise híbrida de Operações de segurança 10.0.0
    Security Operations PhishTank Integration 10.0.0
    Security Operations ThreatCrowd Integration 10.0.0
    Integração do CrowdStrike Intelligence com as Operações de segurança 10.0.0
    Operações de segurança "Have I Been Pwned?" Integração 10.0.0
    Integração do Metadefender das Operações de segurança 10.0.0
    Integração futura registrada de Operações de segurança 10.0.0
    Security Operations VirusTotal Integration 10.0.0
    Integração com Reverse WhoIs das Operações de segurança 10.0.0
    A partir do Security Incident Response 10.4, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Security Operations RiskIQ Integration 10.0.0
    Integração com o Shodan das Operações de segurança 10.0.0
    Integração de WhoIs das Operações de segurança 10.0.0
    Security Operations Carbon Black Integration 10.3.1
    Integração de pesquisa do Splunk de Operações de segurança 10.3.0
    Security Operations ArcSight Logger Integration 10.3.0
    Security Operations McAfee ESM Integration 10.3.0
    Security Operations Elasticsearch Integration 10.3.0
    Security Operations IBM QRadar Integration 10.3.1
    Host do CrowdStrike Falcon das Operações de segurança 10.3.0

    Componentes incluídos

    O novo Capability Integration Framework inclui os seguintes componentes:

    • Capacidades: todas as seguintes capacidades que existem no produto hoje como fluxos de trabalho foram reprojetadas usando Fluxos:
      • Solicitação de bloqueio: fornece uma maneira de bloquear observáveis associados a um incidente de segurança em um firewall, proxy da web ou algum outro ponto de controle. Essa capacidade é usada durante as investigações de resposta do incidente com uma ameaça identificada.
      • Pesquisa e exclusão de e-mail: fornece uma maneira de pesquisar um servidor de e-mail durante uma investigação de segurança e, se necessário, excluir e-mails do servidor.
      • Aprimorar item de configuração: fornece uma maneira geral de aprimorar itens de configuração com informações adicionais de várias fontes. Essa capacidade é usada durante as investigações de resposta do incidente para aprimorar os dados associados a um incidente de segurança.
      • Aprimorar observável: fornece uma maneira geral de aprimorar observáveis com informações adicionais de várias fontes. Essa capacidade é usada durante as investigações de resposta do incidente com uma ameaça identificada.
      • Ingestão de eventos: fornece uma maneira geral de criar um incidente de segurança mapeando eventos de uma origem de integração para um incidente de segurança.
      • Obter estatísticas de rede: recupera uma lista de conexões de rede ativas de um endpoint ou host. Essa capacidade é usada para aprimoramento de incidentes durante as investigações.
      • Obter processos em execução: recupera uma lista de processos em execução de um endpoint ou host. Essa capacidade é usada para aprimoramento de incidentes durante as investigações.
      • Isolar host: fornece uma maneira de isolar um endpoint ou um host associado a um incidente de segurança. O isolamento de host é executado em um item de configuração (IC).
      • Publicar na listade observação: fornece uma maneira de adicionar observáveis associados a um incidente de segurança a uma lista de observação que monitora eventos de segurança e gera alertas. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
      • Pesquisa de detecções: pesquisa váriosSIEMsou outros armazenamentos de log para instâncias de observáveis. Esta capacidade é usada para determinar a presença de IoCs mal-intencionados em seu ambiente.
      • Pesquisa de ameaças: executa pesquisas de inteligência contra ameaças para determinar se um determinado observável está associado a uma ameaça à segurança conhecida. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
    • Novas tabelas:
      • sn_sec_cmn_capability: capacidade e fluxo que implementa a capacidade.
      • sn_sec_cmn_capability_implementation: o fluxo de implementação real que fornece os serviços da capacidade.
      • sn_sec_cmn_capability_execution: o registro de execução de uma capacidade no tempo de execução.
      • sn_sec_cmn_capability_implementation_execution: o registro de execução de uma implementação de capacidade no tempo de execução.
      • sn_sec_cmn_filter_condition: as condições de filtro que podem ser aplicadas no tempo de execução à capacidade ou a uma implementação de capacidade.
    • Incluir script: CapabilityProcessor: lida com todo o código de processamento da estrutura.
    • Limite de taxa: capacidade máxima de solicitações simultâneas por período: define quantas integrações podem ser executadas em paralelo.
    • Implementação da capacidade do processo de trabalho programado: é executada a cada 15 segundos e pode ser desabilitada na página Propriedades de administração de segurança (Incidente de segurança > Administração > Propriedades.
      • Habilita ou desabilita o trabalho agendado, implementações de capacidade de processo: este trabalho programa e gerencia automaticamente os fluxos de execução de implementação de capacidade.
      • Habilita ou desabilita pesquisas ou aprimoramentos automatizados: configuração que ativa ou desativa o trabalho agendado que executa a pesquisa automatizada de ameaças ou o aprimoramento de observáveis quando observáveis são adicionados a incidentes de segurança na estrutura de capacidades atual.
      • Habilita ou desabilita o trabalho agendado, Pesquisar observáveis de incidentes de segurança: este trabalho programa automaticamente uma pesquisa de ameaças ou um trabalho de aprimoramento de observáveis quando observáveis são adicionados a um incidente de segurança.

    Configurações no novo Framework de capacidade

    Esta seção descreve as configurações disponíveis na nova estrutura.

    Antes de Iniciar

    Função necessária: sn_si.admin, flow_designer, action_designer

    Procedimento

    1. Navegar até Todos > Operações de segurança > Integrações > Capacidades.
      Nota:
      Versão 10.4: a partir do Security Incident Response 10.4, o nome do menu Capacidades foi alterado para Capacidades de integração (Fluxos).
    2. Os recursos disponíveis com o sistema de base são exibidos.

      Fluxos de capacidade: prontos para uso
      Nota:

      Esses são os recursos fornecidos com o sistema de base. Você pode usar os recursos ou personalizá-los conforme necessário. As etapas a seguir descrevem como configurar uma capacidade e as integrações implementadas para a capacidade.

    3. Clique no link na coluna Nome para configurar uma capacidade.
      O Nome, a Aplicação, a Descrição e o Fluxo que a capacidade implementa são exibidos.
      Fluxos de capacidade: configurar capacidade
    4. Marque a caixa de seleção Ativo para ativar a capacidade.
      • Condições de filtro no nível de capacidade: quando uma capacidade de integração implementa um fluxo, as condições de filtro associadas ao fluxo são executadas antes que o fluxo de capacidade seja iniciado. Por exemplo, a capacidade Pesquisa de ameaças inclui a condição Filtrar observáveis na lista de permissões, conforme mostrado acima. Clique no link Nome para editar a condição do filtro.
        Nota:
        Marque a caixa de seleção Adicionar anotação de trabalho à tarefa para adicionar anotações de trabalho e incluir informações sobre as condições de filtro usadas.

        Fluxos de capacidade: configurar capacidade: editar condição de filtro

        Você pode definir condições de filtro, um script ou uma combinação de ambos. No exemplo acima, um script é usado para definir as condições do filtro. Quando o fluxo de capacidade é executado, o script pesquisa observáveis da lista de permissões e os remove da tabela.

        Nota:
        As condições de filtro definidas aqui são aplicáveis a todas as integrações ativas definidas na guia Implementações de capacidade.
      • Implementações de capacidade: clique na guia Implementações de capacidade. As implementações (integrações) que foram configuradas para a capacidade são exibidas. O exemplo abaixo mostra as integrações configuradas para a capacidade Pesquisa de ameaças:
        Fluxos de capacidade: Pesquisa de ameaças: Implementações de capacidade
    5. Clique no link Nome para exibir a Implementação da capacidade.
      O Nome, a Aplicação, a Descrição e o Fluxo que a capacidade implementa são exibidos.
    6. Clique na caixa de seleção Ativo para ativar a capacidade.
      Fluxos de capacidade: pesquisa de ameaças: VirusTotal

      Você pode especificar os seguintes detalhes:

      Nome do Campo Descrição
      Ativo Marque esta caixa de seleção para habilitar e desabilitar esta integração.
      Nota:
      Se você configurar esta integração usando o bloco de integração no Operações de segurança > Integrações > Configurações de integraçõespágina, este sinalizador é definido automaticamente como Ativo.
      Ordem Indica a ordem na qual as integrações são executadas.
      Capacidade A capacidade implementada por esta integração.
      Fluxo O subfluxo que implementa a capacidade.
      Configuração A configuração de integração para esta capacidade.
      Nota:
      Isso é definido inicialmente com a configuração padrão fornecida com o sistema de base. Quando uma integração é configurada usando o bloco de integração na página Configurações de integração, esse valor é redefinido automaticamente para a nova configuração criada.
      Limite de Taxa Indica o número de integrações que podem ser executadas em tempo de execução (em paralelo ou por unidade de tempo).
      Tamanho das Entradas em Lote O tamanho da entrada em lote para cada execução. Por exemplo, para uma integração de pesquisa de detecções, convém agrupar os observáveis em lotes de 50 para que as consultas geradas não se tornem muito grandes. 0 indica que não há limite.
      Período de tempo limite A duração máxima antes que o fluxo de implementação da capacidade seja cancelado. 0 indica que não há período de tempo limite.
      Total de solicitações O número total de solicitações de execução de implementação. Este campo, em conjunto com o campo Período total de solicitações, pode ser usado para limitar o número de solicitações ao serviço. Por exemplo, você pode limitar o número a 4 solicitações por minuto.
      Período de solicitações total O número total de solicitações de execução permitidas por período.
      Limite de novas tentativas O número de novas tentativas permitidas para uma solicitação de execução com falha. Este limite será aplicável se o sinalizador Repetir estiver definido em sua integração para tentar novamente uma solicitação de execução quando uma condição for atendida.

      Por exemplo, uma solicitação de nova tentativa é feita quando você excede o limite de licença para esse serviço por um período de tempo ou o serviço está inativo.
      Tente novamente após O período após o qual é feita uma tentativa de tentar novamente uma solicitação de execução com falha.
      Máximo de Solicitações Simultâneas O número máximo de solicitações de execução de implementação simultâneas. 0 indica que não há limite.
      Configurações de Pesquisa de detecções As consultas de pesquisa de detecções padrão que podem ser executadas.
      Clique no link Nome na seção Condições do filtro para configurar as condições definidas para a implementação. Adicione ou exclua condições de filtro, modifique o script se necessário e atualize o registro.
      Fluxos de capacidade: Pesquisa de ameaças: VirusTotal: condição de filtro

    Como usar o novo Capability Framework com uma integração instalada

    Esta seção descreve como usar a nova estrutura para uma integração existente.

    Use as etapas abaixo para habilitar uma integração já instalada e configurada (consulte a lista de integrações compatíveis em Integrações e componentes compatíveis) para usar a nova estrutura de capacidade.

    Nota:
    A Estrutura de capacidade de integração 2.0 disponível com o Security Incident Response 10.0.2 oferece suporte a implementações para as capacidades Pesquisa de ameaças e Aprimorar observável. As implementações de outras capacidades serão disponibilizadas em uma versão futura.
    Antes de começar
    • Função necessária: sn_si.admin
    • Security Incident Response 10.0.2
    1. Navegar até Operações de segurança > Integrações > Capacidades.
    2. Clique na capacidade Pesquisa de ameaças.
    3. Clique na guia Implementação de capacidades.
      Estrutura de capacidade: nova capacidade
    4. 4. Exiba o registro de implementação de capacidade da integração de interesse (exemplo: Crowdstrike Falcon Intelligence). A coluna Ativa deve ter o valor Falso.
    5. Clique no link Nome para exibir o registro de implementação.
      Estrutura de capacidade: novo registro de implementação de capacidade
    6. Marque a caixa de seleção Ativo.
    7. Certifique-se de que o registro de implementação esteja apontando para o registro de configuração correto (o nome do bloco da integração em Configurações de Integração > Mostrar configurações (sim)).
      Estrutura de capacidade: bloco de configuração
    8. A implementação está habilitada para uso com a nova estrutura.
    Nota:
    Todas as integrações compatíveis quando instaladas com o Security Incident Response 10.0.2 serão habilitadas automaticamente na nova estrutura de capacidade de integração.

    Como usar o novo Framework de capacidade com um fluxo

    Use as etapas abaixo para criar um fluxo e chamar o subfluxo fornecido pela nova estrutura de capacidade.

    Antes de Iniciar

    As etapas abaixo descrevem como criar um fluxo de amostra e chamar um dos subfluxos fornecidos com a nova estrutura de capacidade.

    Procedimento

    1. Navegar até Todos > Flow Designer > Designer.
    2. Clique em Novo para criar um novo fluxo e forneça as informações necessárias para as propriedades.
      Estrutura de capacidade: criar novo fluxo
      Nota:
      Selecione Usuário do sistema na lista de seleção Executar como, conforme mostrado na imagem acima.
    3. Selecione uma condição de gatilho para o fluxo (um gatilho comum é a criação de um registro de incidente de segurança para uma determinada categoria de incidente).
      Estrutura de capacidade: criar novo fluxo: gatilho
    4. Na etapa 1 do fluxo, selecione uma ação para obter entradas do incidente de segurança (por exemplo, observáveis).
      Você pode selecionar uma ação das ações fornecidas com o sistema de base com o Spoke comum de suporte de segurança.

      Estrutura de capacidade: criar novo fluxo: ação
    5. Na etapa 2, selecione um subfluxo (por exemplo, Pesquisa de ameaças).
      Estrutura de capacidade: criar novo fluxo: subfluxo
    6. Configure o subfluxo selecionado conforme mostrado abaixo:
      Estrutura de capacidade: criar novo fluxo: configurar subfluxo
    7. Salve e publique o fluxo.

    Solução de problemas de fluxos de capacidade de integração

    A opção Execuções de capacidade fornece informações detalhadas sobre cada capacidade que foi executada.

    Nota:
    As execuções concluídas são arquivadas após 30 dias.
    1. Navegar até Operações de segurança > Integrações > Execuções de capacidade..

      Estrutura de capacidade: execuções de capacidade
    2. Clique no link Execuções de capacidade para exibir detalhes adicionais.

    Anotações de trabalho do registro de incidente de segurança

    Quando observáveis são adicionados a um incidente de segurança e a condição do gatilho para o fluxo é atendida, os subfluxos Pesquisa de ameaças e Aprimorar observável são iniciados e as seguintes anotações de trabalho são adicionadas ao incidente de segurança:
    • Execução de fluxo iniciada: Integração de Operações de segurança - Enriquecer observável V1
    • Execução de fluxo concluída: Integração de Operações de segurança - Enriquecer observável V1
    • Execução de fluxo iniciada: Integração de Operações de segurança – Pesquisa de ameaças V1
    • Execução de fluxo concluída: Integração de Operações de segurança – Pesquisa de ameaças V1

    Para exibir essas anotações de trabalho, faça login como um usuário com as funções sn_si.admin ou sn_si.analyste flow_designere action_designer.

    Navegue até a página de registro do incidente de segurança e clique nessas anotações de trabalho para exibir os detalhes da execução do fluxo.
    Estrutura de capacidade: Incidente de segurança: Anotações de trabalho