통합 역량 프레임워크 2.0
새로운 Integration Capabilities Framework 2.0은 간단하고 일관된 방식으로 통합을 구현할 수 있도록 재설계되었습니다. 이를 통해 유사한 유형의 통합에 대해 일관된 환경이 보장됩니다(예: 옵저버블 평판 조회).
새 프레임워크에는 플로우를 사용하여 구현된 기능이 있습니다.
향상된 프레임워크 구현의 이점은 다음과 같습니다.
- 구현별 로직 없이 비즈니스 수준 구성요소만 포함하는 역량 플로우입니다.
- 이제 기능 플로우는 최대한의 유연성을 위해 광범위한 입력 및 형식 배열(예: 옵저버블 참조, CI 참조, 작업, 모든 테이블 또는 sys_id 조합)을 허용합니다.
- 이제 통합 실행에 대한 속도 제한 또는 제한을 쉽게 구성할 수 있습니다(사용자 지정 코드를 사용하거나 구현 워크플로우를 변경하여 이 작업을 수행할 필요가 없음).
- 향상된 감사 및 실행 추적 기능을 통해 이제 더 나은 보고와 더 쉬운 문제 해결이 가능합니다.
- 강력한 오류 처리 기능이 기능 흐름에 내장되어 구현 루틴의 중복을 방지합니다.
- 역량 또는 통합의 조건부 트리거를 구성하는 능력. 이를 통해 인시던트 범주에 따라 자동화를 자동으로 시작할 수 있는 유연성이 제공됩니다.
- 통합에 입력이 제공되기 전에 허용 목록에 있는 옵저버블을 필터링하는 기본 필터 조건이 모든 기능에 도입되었습니다.
주:
이 새로운 기능 프레임워크는 현재 기능 프레임워크를 업그레이드하지 않습니다. 두 프레임워크는 동시에 작동할 수 있습니다. 새 기능 프레임워크를 활용하는 방법에 대한 지침은 및 플로우에 새 역량 프레임워크 사용를 참조하십시오설치된 통합과 함께 새 기능 프레임워크 사용.
지원되는 통합 및 구성요소
보안 인시던트 응답 플러그인에는 통합 역량 프레임워크 2.0에 나열된 모든 역량 플로우와 요구 사항에 따라 사용하거나 사용하지 않도록 설정할 수 있는 상위 표준 필터가 포함되어 있습니다.
주:
New York 릴리스에서 새 역량 통합 프레임워크를 사용하려면 ServiceNow 통합 허브 Starter Pack Installer 플러그인을 설치해야 합니다. 설치에 대한 지원을 받으려면 고객 지원에 문의하십시오.
지원되는 애플리케이션 버전
Security Incident Response 10.0부터 다음 통합이 지원됩니다.
| 애플리케이션 | 최소 버전 필요 |
|---|---|
| 보안 운영 하이브리드 분석 통합 | 10.0.0 |
| 보안 운영 PhishTank 통합 | 10.0.0 |
| 보안 운영 ThreatCrowd 통합 | 10.0.0 |
| Security Operations CrowdStrike 인텔리전스 통합 | 10.0.0 |
| 보안 운영 '내가 pwned를 받았습니까?' 통합 | 10.0.0 |
| 보안 운영 Metadefender 통합 | 10.0.0 |
| 보안 운영 기록됨 향후 통합 | 10.0.0 |
| 보안 운영 VirusTotal 통합 | 10.0.0 |
| 보안 운영 WhoIs 통합 취소 | 10.0.0 |
Security Incident Response 10.4부터 다음 통합이 지원됩니다.
| 애플리케이션 | 최소 버전 필요 |
|---|---|
| Security Operations RiskIQ 통합 | 10.0.0 |
| 보안 운영 Shodan 통합 | 10.0.0 |
| 보안 운영 WhoIs 통합 | 10.0.0 |
| 보안 운영 Carbon Black 통합 | 10.3.1 |
| 보안 운영 Splunk 검색 통합 | 10.3.0 |
| 보안 운영 ArcSight 로거 통합 | 10.3.0 |
| 보안 운영 McAfee ESM 통합 | 10.3.0 |
| 보안 운영 Elasticsearch 통합 | 10.3.0 |
| 보안 운영 IBM QRadar 통합 | 10.3.1 |
| 보안 운영 CrowdStrike Falcon 호스트 | 10.3.0 |
포함된 구성요소
새로운 역량 통합 프레임워크에는 다음 구성요소가 포함됩니다.
- 기능: 현재 워크플로우로 제품에 존재하는 다음 기능은 모두 플로우를 사용하여 재설계되었습니다.
- 요청 차단: 방화벽, 웹 프록시 또는 기타 제어 지점의 보안 인시던트와 연관된 옵저버블을 차단하는 방법을 제공합니다. 이 기능은 인시던트 응답 조사 중에 식별된 위협을 억제하는 데 사용됩니다.
- 이메일 검색 및 삭제: 보안 조사 중에 이메일 서버를 검색하고 필요한 경우 서버에서 이메일을 삭제하는 방법을 제공합니다.
- 구성 항목 보강: 다양한 소스의 추가 정보로 구성 항목을 보강하는 일반적인 방법을 제공합니다. 이 기능은 인시던트 응답 조사 중에 보안 인시던트와 관련된 데이터를 보강하는 데 사용됩니다.
- 옵저버블 보강: 다양한 소스의 추가 정보로 옵저버블을 보강하는 일반적인 방법을 제공합니다. 이 기능은 인시던트 응답 조사 중에 식별된 위협을 억제하는 데 사용됩니다.
- 이벤트 수집: 통합 소스의 이벤트를 보안 인시던트에 매핑하여 보안 인시던트를 생성하는 일반적인 방법을 제공합니다.
- 네트워크 통계 가져오기: 엔드포인트 또는 호스트에서 활성 네트워크 연결 목록을 검색합니다. 이 기능은 조사 진행 중에 인시던트를 향상하기 위해 사용됩니다.
- 실행 중인 프로세스 가져오기: 엔드포인트 또는 호스트에서 실행 중인 프로세스 목록을 검색합니다. 이 기능은 조사 진행 중에 인시던트를 향상하기 위해 사용됩니다.
- 호스트 격리: 보안 인시던트와 연관된 엔드포인트 또는 호스트를 격리하는 방법을 제공합니다. 호스트 격리는 CI(구성 항목)에 대해 실행됩니다.
- 감시 목록에 게시: 보안 이벤트를 모니터링하고 경보를 생성하는 감시 목록에 보안 인시던트와 연관된 옵저버블을 추가하는 방법을 제공합니다. 이 기능은 조사 진행 중에 인시던트 응답의 일부로 사용됩니다.
- 사이팅 검색: 다양한 SIEM 또는 옵저버블의 인스턴스를 저장하는 다른 로그 저장소를 검색합니다. 이 기능은 사용자 환경에 악의적인 IoC가 있는지 확인하는 데 사용됩니다.
- 위협 조회: 위협 인텔리전스 조회를 수행하여 특정 옵저버블이 알려진 보안 위협과 연관이 있는지 여부를 확인합니다. 이 기능은 조사 진행 중에 인시던트 응답의 일부로 사용됩니다.
- 새 테이블:
- sn_sec_cmn_capability: 역량 및 역량을 구현하는 플로우입니다.
- sn_sec_cmn_capability_implementation: 역량 서비스를 제공하는 실제 구현 플로우입니다.
- sn_sec_cmn_capability_execution: 런타임 시 역량에 대한 실행 기록입니다.
- sn_sec_cmn_capability_implementation_execution: 런타임 시 역량 구현에 대한 실행 기록입니다.
- sn_sec_cmn_filter_condition: 런타임 시 기능 또는 기능 구현에 적용할 수 있는 필터 조건입니다.
- 스크립트 포함: CapabilityProcessor: 프레임워크에 대한 모든 처리 코드를 처리합니다.
- 요율 제한: 기간당 역량 최대 동시 요청: 병렬로 실행할 수 있는 통합 수를 정의합니다.
- 예약된 작업 프로세스 기능 구현: 15초마다 실행되며 보안 관리 속성 페이지(.
- 예약된 작업을 활성화 또는 비활성화합니다. 프로세스 역량 구현: 이 작업은 역량 구현 실행 플로우를 자동으로 예약하고 관리합니다.
- 자동 조회 또는 보강 활성화 또는 비활성화: 현재 역량 프레임워크에서 옵저버블이 보안 인시던트에 추가될 때 옵저버블의 자동화된 위협 조회 또는 보강을 수행하는 예약된 작업을 활성화하거나 비활성화하는 설정입니다.
- 예약된 작업인 보안 인시던트 옵저버블 조회를 활성화하거나 비활성화합니다. 이 작업은 옵저버블이 보안 인시던트에 추가될 때 위협 조회 또는 옵저버블 보강 작업을 자동으로 예약합니다.
새 역량 프레임워크의 구성
이 섹션에서는 새 프레임워크에서 사용할 수 있는 구성에 대해 설명합니다.
시작하기 전에
필요한 역할: sn_si.admin, flow_designer, action_designer
프로시저
-
기본 시스템에서 사용할 수 있는 기능이 표시됩니다.
주:기본 시스템과 함께 제공되는 기능입니다. 기능을 사용하거나 필요에 따라 사용자 지정할 수 있습니다. 다음 단계에서는 기능을 구성하는 방법과 기능에 대해 구현된 통합을 설명합니다.
-
이름 열의 링크를 클릭하여 역량을 구성합니다.
역량이 구현하는 이름, 애플리케이션, 설명 및 플로우가 표시됩니다.
-
활성 확인란을 선택하여 기능을 활성화합니다.
- 역량 수준의 필터 조건: 통합 역량이 플로우를 구현하면 역량 플로우가 시작되기 전에 플로우와 연결된 필터 조건이 실행됩니다. 예를 들어 위협 조회 기능에는 위와 같이 허용 목록에 추가된 옵저버블 필터링 조건이 포함됩니다. 이름 링크를 클릭하여 필터 조건을 편집합니다. 주:작업에 작업 메모 추가 확인란을 선택하여 작업 메모를 추가하고 사용된 필터 조건에 대한 정보를 포함합니다.
필터 조건이나 스크립트 또는 둘의 조합을 정의할 수 있습니다. 위 예시에서는 스크립트를 사용하여 필터 조건을 정의합니다. 역량 플로우가 실행되면 스크립트는 허용 목록에 추가된 옵저버블을 검색하여 테이블에서 제거합니다.
주:여기에 설정된 필터 조건은 역량 구현 탭에 정의된 모든 활성 통합에 적용할 수 있습니다. - 역량 구현: 역량 구현 탭을 클릭합니다. 역량에 대해 구성된 구현(통합)이 표시됩니다. 아래 예는 위협 조회 기능에 대해 구성된 통합을 보여줍니다.
- 역량 수준의 필터 조건: 통합 역량이 플로우를 구현하면 역량 플로우가 시작되기 전에 플로우와 연결된 필터 조건이 실행됩니다. 예를 들어 위협 조회 기능에는 위와 같이 허용 목록에 추가된 옵저버블 필터링 조건이 포함됩니다. 이름 링크를 클릭하여 필터 조건을 편집합니다.
-
활성 확인란을 클릭하여 기능을 활성화합니다.
다음과 같은 상세 정보를 지정할 수 있습니다.
표 1. 필드 이름 설명 활성 이 통합을 사용하지 않도록 설정하려면 이 확인란을 선택합니다. 주:의 통합 타일을 사용하여 이 통합을 구성하는 경우 페이지에서 이 플래그는 활성으로 자동 설정됩니다.순서 통합이 실행되는 순서를 나타냅니다. 역량 이러한 통합을 통해 구현되는 역량입니다. 플로우 역량을 구현하는 하위 플로우입니다. 구성 이 역량에 대한 통합 구성입니다. 주:처음에는 기본 시스템에 제공된 기본 구성으로 설정됩니다. 통합 구성 페이지에서 통합 타일을 사용하여 통합을 구성하는 경우 이 값은 생성된 새 구성으로 자동으로 재설정됩니다.속도 제한 런타임에 실행할 수 있는 통합 수(병렬 또는 시간 단위당)를 나타냅니다. 배치 입력 크기 각 실행에 대한 배치 입력 크기입니다. 예를 들어 사이팅 검색 통합의 경우 생성된 쿼리가 너무 커지지 않도록 옵저버블을 50개의 배치로 그룹화할 수 있습니다. 0은 제한이 없음을 나타냅니다. 시간 초과 기간 역량 구현 플로우가 취소되기 전의 최대 기간입니다. 0은 시간 초과 기간이 없음을 나타냅니다. 요청한 총 수 총 구현 실행 요청 수입니다. 이 필드는 총 요청 기간 필드와 함께 서비스에 대한 요청 수를 제한하는 데 사용할 수 있습니다. 예를 들어 분당 요청 수를 4개로 제한할 수 있습니다. 총 요청 기간 기간당 허용되는 총 실행 요청 수입니다. 재시도 제한 실패한 실행 요청에 허용되는 재시도 횟수입니다. 이 제한은 조건이 충족될 때 실행 요청을 재시도하도록 통합에 재시도 플래그가 설정된 경우에 적용할 수 있습니다. 예를 들어, 일정 기간 동안 해당 서비스에 대한 라이센스 한도를 초과했거나 서비스가 다운되면 재시도 요청이 수행됩니다.
다음 이후에 다시 시도 실패한 실행 요청을 다시 시도하기 위한 기간입니다. 최대 동시 요청 동시 구현 실행 요청의 최대 수입니다. 0은 제한이 없음을 나타냅니다. 사이팅 검색 구성 실행할 수 있는 기본 사이팅 검색 쿼리입니다. 필터 조건 섹션에서 이름 링크를 클릭하여 구현에 대해 정의된 조건을 구성합니다. 필터 조건을 추가 또는 삭제하고, 필요한 경우 스크립트를 수정하고, 기록을 업데이트합니다.
설치된 통합과 함께 새 기능 프레임워크 사용
이 섹션에서는 기존 통합에 새 프레임워크를 사용하는 방법을 설명합니다.
아래 단계를 사용하여 이미 설치되고 구성된 통합을 활성화(지원되는 지원되는 통합 및 구성요소통합 목록 참조)하여 새 역량 프레임워크를 사용하십시오.
주:
Security Incident Response 10.0.2와 함께 사용할 수 있는 Integration Capability Framework 2.0은 위협 조회 및 옵저버블 보강 기능의 구현을 지원합니다. 다른 기능에 대한 구현은 향후 릴리스에서 제공될 예정입니다.
시작하기 전에
- 필요한 역할: sn_si.admin
- 보안 인시던트 응답 10.0.2
- 다음으로 이동 .
- 위협 조회 기능을 클릭합니다.
- 역량 구현 탭을 클릭합니다.
- 4. 관심 통합에 대한 역량 구현 기록을 봅니다(예: Crowdstrike Falcon Intelligence). 활성 열의 값은 False여야 합니다.
- 이름 링크를 클릭하여 구현 기록을 봅니다.
- 활성 확인란을 선택합니다.
- 구현 기록이 올바른 구성 기록(의 통합에 대한 타일 이름)을 가리키는지 확인하십시오. ).
- 새 프레임워크에서 사용할 수 있도록 구현이 활성화됩니다.
주:
Security Incident Response 10.0.2와 함께 설치되면 지원되는 모든 통합이 새 통합 기능 프레임워크에서 자동으로 활성화됩니다.
플로우에 새 역량 프레임워크 사용
아래 단계를 사용하여 플로우를 생성하고 새 역량 프레임워크에서 제공하는 하위 플로우를 호출합니다.
시작하기 전에
- 필요한 역할: sn_si.admin, flow_designer, action_designer
- 지원되는 통합 중 하나를 설치합니다(지원되는 통합 및 구성요소
아래 단계에서는 샘플 플로우를 만들고 새 역량 프레임워크와 함께 제공되는 하위 플로우 중 하나를 호출하는 방법을 설명합니다.
프로시저
-
새로 만들기를 클릭하여 새 플로우를 만들고 속성에 필요한 정보를 제공합니다.
주:위의 이미지에 표시된 대로 Run As 선택 목록에서 System User 를 선택합니다. -
플로우에 대한 트리거 조건을 선택합니다(일반적인 트리거는 특정 인시던트 범주에 대한 보안 인시던트 기록 생성).
-
플로우의 1단계에서 보안 인시던트에서 입력을 가져오는 작업(예: 옵저버블)을 선택합니다.
보안 지원 공통 스포크가 있는 기본 시스템과 함께 제공되는 작업 중에서 작업을 선택할 수 있습니다.
-
2단계에서 하위 플로우(예: 위협 조회)를 선택합니다.
-
아래와 같이 선택한 하위 플로우를 구성합니다.
통합 역량 플로우 문제 해결
기능 실행 옵션은 실행된 각 기능에 대한 자세한 정보를 제공합니다.
주:
완료된 실행은 30일 후에 보관됩니다.
- 다음으로 이동 .
- 역량 실행 링크를 클릭하여 추가 상세 정보를 봅니다.
보안 인시던트 기록 작업 메모
옵저버블이 보안 인시던트에 추가되고 플로우에 대한 트리거 조건이 충족되면 위협 조회 및 옵저버블 보강 하위 플로우가 시작되고 다음 작업 메모가 보안 인시던트에 추가됩니다.
- 플로우 실행 시작: 보안 운영 통합 - 옵저버블 보강 V1
- 플로우 실행 완료: 보안 운영 통합 - 옵저버블 보강 V1
- 플로우 실행 시작: 보안 운영 통합 – 위협 조회 V1
- 플로우 실행 완료: 보안 운영 통합 - 위협 조회 V1
이러한 작업 메모를 보려면 sn_si.admin 또는 sn_si.analyst, flow_designer 및 action_designer 역할을 가진 사용자로 로그인합니다.
보안 인시던트 기록 페이지로 이동하고 이러한 작업 메모를 클릭하여 플로우 실행 세부 정보를 봅니다.
