セキュリティインシデントレスポンス とともにインストールされるコンポーネント
セキュリティインシデントレスポンス アプリケーションをダウンロードしてアクティブ化すると、ユーザーロール、テーブル、プロパティ、スケジュール済みジョブなど、いくつかのタイプのコンポーネントがインストールされます。
注:
アプリケーションファイルテーブルには、このアプリケーションとともにインストールされたコンポーネントがリストされています。このテーブルへのアクセス手順については、「アプリケーションとともにインストールされているコンポーネントの検索」を参照してください。
この機能ではデモデータを利用できます。
インストールされるプロパティ
システムアドミニストレーター [admin] ロールを持つユーザーは、プロパティを表示できます。セキュリティアドミニストレーター [sn_si.admin] ロールを持つユーザーは、それらを変更できます。
| プロパティ | 使用法 |
|---|---|
| デフォルトのカテゴリノード。ワークスペース内の [関係グラフ] タブに表示されます。デフォルト値は、関連レコードに対応するテーブル名を表します。 sn_si_aw.defaultCategories |
|
| スケジュールが設定されていない場合のすべてのエージェントに対するデフォルト開始時間 (形式:08:00) sn_si.default.start.time |
|
| スケジュールが設定されていない場合のすべてのエージェントに対するデフォルト終了時間 (形式:17:00) sn_si.default.end.time |
|
| セキュリティインシデントのユーザーおよび CI 関係性に他のコンテキストタイプの観測事象とともに宛先タイプ観測事象を含めます sn_si.link_dest_ip |
コンテキストタイプが [宛先] のセキュリティインシデント観測事象を [構成アイテム] または [影響を受けるユーザー] タブに表示するかどうかを決定します。デフォルトでは、宛先コンテキストタイプの観測事象は除外されます。観測事象を含めるには、[はい] を選択します。 |
| セキュリティインシデントから問題または変更要求を作成するときにカスタマイズを許可します sn_si.popup |
このプロパティは、問題または変更を作成するときに要求を変更するためのポップアップウィンドウを開きます。 これらのプロパティを false に設定した場合、問題または変更要求に対して、セキュリティインシデントと同じ優先度、簡単な説明、および説明が表示されますが、これらのフィールドを追加または編集するオプションは表示されません。
|
| サイティング検索の結果を CMDB 内の CI に関連付けます。 sn_si.associate_ci_with_sighting_search |
true に設定した場合、CMDB にある関連する構成アイテムがサイティング検索の結果に含まれます。
|
| 範囲のリスクスコアは緑色でハイライト表示され、0 ~ 49 の形式で示されます sn_si.risk.score.green |
[セキュリティインシデント] リストで、リスクスコアが 0 ~ 49 のセキュリティインシデントは緑色の点でマークされます。 |
| 範囲のリスクスコアはオレンジでハイライト表示され、50 ~ 79 の形式で示されます sn_si.risk.score.orange |
[セキュリティインシデント] リストで、リスクスコアが 50 ~ 79 のセキュリティインシデントはオレンジ色の点でマークされます。 |
| 範囲内のリスクスコアは赤でハイライト表示され、80 ~ 100 の形式で示されます sn_si.risk.score.red |
[セキュリティインシデント] リストで、リスクスコアが 80 ~ 100 のセキュリティインシデントは赤色の点でマークされます。 |
| このパラメーターは、この機能を実装したサイティング検索構成を有効または無効にします。 sn_si.enable_sighting_search |
true に設定した場合、アクティブ化された統合でサイティング検索を実行できます。
|
| サイティング検索が実行されたときに保存される生データの行数。0 ~ 100 の範囲 sn_si.sighting_search_raw_data_rows |
このプロパティのデフォルトは 50 行の生データです。結果行の半分は検索期間の開始から報告され、半分は検索期間の終わりから報告されます。したがって、50 行を選択した場合、検索期間の開始から 25 行、検索期間の終わりから 25 行が報告されます。 |
| 応答タスクが「対応中」に進むと、インシデント状況が「含む」に自動的に進みます sn_si.rollup_task_state |
フローまたはワークフローを使用する場合は、このプロパティを false に設定することを検討してください。これにより、フローまたはワークフロー内からインシデント状況を制御できます。また、あるインシデント状況から別のステータスに移行する際の潜在的な競合を回避するのにも役立ちます。
|
| セキュリティインシデントレスポンスのアサインプロパティ | |
| 場所の重み sn_si.location.weight |
セキュリティアナリストの自動アサインに使用する基準を計算するときに使用する評価。たとえば、タスクに対して場所が考慮される場合、場所の重み付け値がセキュリティアナリストの評価に追加されます。
|
| スキルの重み sn_si.skills.weight |
セキュリティアナリストの自動アサインに使用する基準を計算するときに使用する評価。たとえば、タスクに対してスキルが考慮される場合、スキルの重み付け値がセキュリティアナリストの評価に追加されます。
|
| 自動アサインによって一度に処理される最大セキュリティアナリスト数を設定 sn_si.max.agents.processed |
システムに設定されているセキュリティアナリスト数の絶対上限は 300 人です。300 を超える値を指定すると、値はそのレベルに設定されます。システムは、構成されている値よりも多くのセキュリティアナリストが含まれているディスパッチグループに対してタスクを自動ディスパッチすることはできません。
|
| タイムゾーンの重み sn_si.timezone.weight |
セキュリティアナリストの自動アサインに使用する基準を計算するときに使用する評価。たとえば、タスクに対してセキュリティアナリストのタイムゾーンが考慮される場合、タイムゾーンの重み付け値がセキュリティアナリストの評価に追加されます。
|
| タスクの最後から次の移動開始までの時間 (分)。 sn_si.work.spacing |
有効な時間値の例は 10 です。
|
コンテンツを HTML として表示する code タグを含む、指定されたジャーナルフィールド。sn_si.journal_field.html_enabled |
|
| 影響を受けるサービスをバックグラウンドで計算します。 sn_si.refresh_impacted.event |
[影響を受けるサービス/影響を受けた CI] 関連リストは、イベントを通じて生成されます。有効にすると、リフレッシュがバックグラウンドで実行され、セキュリティタグがインシデントに追加されます。 操作をバックグラウンドで実行するには、値を [true] に設定します。
|
| 事前計算済みデータから重要なサービスを取得します。 sn_si.critical_service.calculator.use_cache |
構成アイテムの事前計算済みデータを、重要なサービス算出で使用できるようにします。 事前計算済みデータからルックアップするには、値を [true] に設定します
|
インストールされているロール
| ロール タイトル [名前] | 説明 | 含んでいるロール |
|---|---|---|
| セキュリティインシデントアドミン [sn_si.admin] |
すべての セキュリティインシデントレスポンス データを完全に制御します。また、必要に応じてテリトリとスキルを管理します。 注: ベースシステムでは、アドミニストレーターは sn_si.admin にもアクセスできます。セキュリティインシデントレスポンス は、少なくとも 1 人の他のユーザーにセキュリティアドミンロールがアサインされている限り、アドミニストレーターによるアクセスを制限できます。 |
|
| プロファイルアドミン [sn_si.ingestion_profile_admin] |
Splunk、Splunk ES、および Azure Sentinel Integration for Security Operations アプリケーションのプラグインを構成、作成、編集、削除、および管理します。 注: デフォルトでは sn_si.admin ロールが必要な権限を継承するため、sn_si.admin ロールを持つユーザーは、プロファイルアドミニストレーターが利用できるすべての操作を実行できます。 sn_si.ingestion_profile_admin ロールは、sn_si.admin によってユーザーにアサインできます。 |
適用外 |
| セキュリティインシデントアナリスト [sn_si.analyst] |
セキュリティインシデントを管理します。基本的なセキュリティアクセスの基礎となるロール。このロールを持つユーザーは、セキュリティインシデント、要求、タスクの他、各自のインシデントに関連する問題、変更、および機能停止を作成したり更新したりできます。 |
|
| セキュリティインシデントの基本 (Security Incident Basic) [sn_si.basic] |
基本的なセキュリティアクセスの基礎となるロール。このロールを持つユーザーは、セキュリティインシデント、要求、タスクの他、各自のインシデントに関連する問題、変更、および機能停止を作成したり更新したりできます。 |
|
| 最高情報セキュリティ責任者 (CISO) [sn_si.ciso] |
CISO ダッシュボードを表示および操作します。また、脆弱性対応 プラグインが有効になっている場合、このロールを持つユーザーは、脆弱性重要度定義ツリーマップをダッシュボードに追加できます。セキュリティインシデントレスポンス プラグインでも同じことができます。 |
|
| セキュリティインシデント (外部) (Security Incident External) [sn_si.external] |
特定のグループに属するセキュリティインシデントを表示します。 注: 次の 2 つのルールは、スコープ指定されたアドミニストレーターまたはスコープアプリに関係なく、ServiceNow 全体に適用されます。
|
service_fulfiller |
| Security Incident Integration ユーザー (Security Incident Integration User) [sn_si.integration_user] |
外部ツールは、新しいセキュリティインシデントレコードを提供し、セキュリティインシデントレコードを更新できます。 | import_transformer |
| セキュリティインシデントナレッジアドミニストレーター (Security Incident Knowledge Administrator) [sn_si.knowledge_admin] |
セキュリティインシデントナレッジベースの情報を管理、更新、削除します。 |
|
| セキュリティインシデントマネージャー [sn_si.manager] |
セキュリティアナリストと同じアクセス権。 |
|
| セキュリティインシデント読み取り (Security Incident Read) [sn_si.read] |
セキュリティインシデントを読み取ります。 |
|
| セキュリティ制限アクセスマネージャー (Security Restriction Access Manager) [sn_si.restriction_access_manager] | ユーザーまたはグループがセキュリティインシデントに「制限を適用」できるようにします。これはフィールドの変更にのみ適用されます。 | 該当なし |
| セキュリティインシデント特別アクセス (Security Incident Special Access) sn_si.special_access |
Security Operations 組織外のユーザーに特定のセキュリティインシデントへのアクセス権を付与します。 | 該当なし |
| セキュリティ特別アクセスイネーブラー (Security Special Access Enabler) [sn_si.special_access_enabler] | Security Operations 組織外のユーザーに特定のセキュリティインシデントへの特別アクセスロールを付与します。 | 該当なし |
| セキュリティインシデント特別アクセス読み取りマネージャー (Security Incident Special Access Read Manager) [sn_si.special_access_read_manager] | セキュリティインシデント特別アクセス (Security Incident Special Access) [sn_si.special_access] ロールを管理します。セキュリティインシデントフォームの [読み取りアクセス] フィールドを変更するには、このロールを使用します。sn_si.admin がこのロールをアサインできます。 | sn_si.special_access_enabler |
| セキュリティインシデント特別アクセスライターマネージャー (Security Incident Special Access Writer Manager) [sn_si.special_access_write_manager] | セキュリティインシデント特別アクセス (Security Incident Special Access) [sn_si.special_access] ロールを管理します。セキュリティインシデントフォームの [特権アクセス] フィールドを変更するには、このロールを使用します。sn_si.admin がこのロールをアサインできます。 | sn_si.special_access_enabler |
インストールされたスケジュール済みジョブ
| スケジュール済みジョブ | 説明 |
|---|---|
| セキュリティインシデント観測事象のルックアップ | ユーザー定義のスケジュールで観測事象のルックアップを実行します。 |
インストールされるテーブル
| テーブル | 説明 |
|---|---|
| ニュースフィード設定 [sn_si_feed_configuration] |
セキュリティインシデントのニュースフィードに表示されるコンテンツを定義するために使用される設定レコード。 |
| インシデントの事後レビューのアサインルール [sn_si_pir_condition] |
セキュリティインシデントをクローズしたときのインシデントの事後レビューサーベイの参加者の選択を自動化します。 |
| セキュリティインシデント [sn_si_incident] |
セキュリティインシデント、インシデントへの応答、このセキュリティインシデントに関連付けられたすべてのリンクされたタスク、変更、問題、およびインシデントを保存します。 |
| セキュリティインシデント攻撃ベクトル [sn_si_attack_vector] |
攻撃ベクトルのオプション。 |
| セキュリティインシデントの監査ログ [sn_si_audit_log] |
セキュリティインシデント拡張の監査ログを保存します。 |
| セキュリティインシデント算出 [sn_si_calculator] |
特定の条件が満たされたときに特定のセキュリティインシデントフィールドを設定する算出。 |
| セキュリティインシデント算出グループ [sn_si_calculator_group] |
セキュリティインシデント算出をグループ化したもの。算出グループの順序によって最初に評価されるグループが決まり、各グループで最大 1 つの算出が使用されます。 |
| セキュリティインシデント拡張ファイアウォール [sn_si_enrichment_firewall] |
ベーステーブル (sn_sec_cmn_enrichment_data_base) から拡張され、Palo Alto Networks ファイアウォールに固有のすべての拡張レコードを含みます。 |
| セキュリティインシデント拡張マルウェアの結果 [sn_si_enrichment_malware] |
ベーステーブル (sn_sec_cmn_enrichment_data_base) から拡張され、マルウェアに固有のすべての拡張レコードを含みます。 |
| セキュリティインシデント拡張ネットワーク統計 [sn_si_enrichment_network_statistics] |
ベーステーブル (sn_sec_cmn_enrichment_data_base) から拡張され、ネットワーク統計に固有のすべての拡張レコードを含みます。 |
| セキュリティインシデント拡張の実行中のプロセス [sn_si_enrichment_running _processes] |
ベーステーブル (sn_sec_cmn_enrichment_data_base) から拡張され、実行中のプロセスに固有のすべての拡張レコードを含みます。 |
| セキュリティインシデント拡張の実行中のサービス [sn_si_enrichment_running_service] |
ベーステーブル (sn_sec_cmn_enrichment_data_base) から拡張され、実行中のサービスに固有のすべての拡張レコードを含みます。 |
| セキュリティインシデントメール検索 [sn_si_m2m_incident_email_search] |
メール検索レコードをセキュリティインシデントにマッピングします。 |
| セキュリティインシデントのインポート [sn_si_incident_import] |
セキュリティインシデントのインポートテーブル。外部システムからセキュリティインシデントを作成するために使用されます。 |
| セキュリティインシデントプロセス定義 [sn_si_process_definition] |
セキュリティインシデントプロセスフローの構成を保存します。 |
| セキュリティインシデントプロセス定義セレクタ [sn_si_process_definition_selector] |
セキュリティインシデントに使用するセキュリティインシデントプロセス定義を保存します。 |
| セキュリティインシデントに関連したカスタマーサービスケース [sn_si_m2m_incident_customerservice_case] |
カスタマーサービスケースとセキュリティインシデントをマッピングします。 |
| セキュリティインシデントに関連した拡張データ [sn_si_m2m_incident_enrichment] |
セキュリティインシデントと関連する拡張データレコードをマッピングします。 |
| セキュリティインシデントレスポンス タスク [sn_si_task] |
セキュリティインシデントの処理に関連するサブタスクを管理します。これらのタスクをセキュリティ担当者または他の部門のユーザーにアサインして、部門間のコミュニケーションとタスクの追跡を管理できます。 |
| セキュリティインシデントレスポンス タスクテンプレート [sn_si_task_template] |
セキュリティインシデントレスポンス タスクを作成するために使用されます。これらのテンプレートは、特定のタイプのセキュリティインシデントに対する一連の適切なサブタスクを自動的に作成するために、カタログエントリーでよく使用されます。 |
| セキュリティインシデント Runbook ドキュメント [sn_si_runbook_document] |
セキュリティインシデントの条件またはフィルターをナレッジ記事に関連付けます。セキュリティインシデント修復の Runbook 手順を指定するために使用されます。 |
| セキュリティインシデントテンプレート [sn_si_incident_template] |
セキュリティインシデントを作成するために使用されます。これらのテンプレートは、事前ビルドされたセキュリティインシデントを作成するためにカタログエントリーでよく使用されます。 |
| セキュリティの要求 [sn_si_request] |
セキュリティチームへのセキュリティ関連の要求。 |
| セキュリティスキャンの要求 [sn_si_scan_request] |
脅威のルックアップの要求。 |
| 重大度算出 sn_si_severity_calculator |
セキュリティインシデントの重大度、影響度、リスク、および重要度の値を定義します。 |
| タスクの影響を受けるユーザー [sn_si_m2m_task_affected_user] |
セキュリティインシデントを影響を受けるユーザーに関連付ける多対多のテーブル。 |
| ワークフロー動作結果評価テンプレート [sn_si_wf_activity_outcome_evaluator] |
評価スクリプトを使用して機能をマッピングします。新しいサブフローをテンプレートワークフローに追加して、アナリストが手動で設定することなく応答タスクの結果を設定できます。 |