Integrations Capabilities Framework 2.0

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 10 Minuten Lesedauer

    • Das neue Integration Capabilities Framework 2.0 wurde neu gestaltet, um die Implementierung von Integrationen auf einfache und konsistente Weise zu ermöglichen. Dadurch wird eine konsistente Experience für ähnliche Arten von Integrationen sichergestellt (z. B. Suche nach erkennbaren Reputationen).

    Das neue Framework verfügt über Fähigkeiten, die mithilfe von Flowsimplementiert werden.

    Zu den Vorteilen der erweiterten Framework-Implementierung gehören:

    • Die Fähigkeits-Flows, die nur Komponenten auf Geschäftsebene ohne implementierte spezifische Logik enthalten.
    • Die Fähigkeits-Flows akzeptieren jetzt eine Vielzahl von Eingaben und Formaten für maximale Flexibilität (z. B. Referenzen erkennbarer Elemente, CI-Referenzen, Aufgaben, beliebige Tabellen oder sys_id-Kombinationen).
    • Ratenbegrenzung oder Drosselung bei Integrationsausführungen ist jetzt einfach zu konfigurieren (wodurch die Notwendigkeit der Verwendung von benutzerdefiniertem Code oder Änderungen an Implementierungs-Workflows entfällt).
    • Verbesserte Funktionen für Audits und Ausführungsverfolgung ermöglichen jetzt eine bessere Berichterstellung und eine einfachere Fehlerbehebung.
    • Robuste Fehlerbehandlungsfunktionen sind in die Fähigkeits-Flows integriert, um doppelte Implementierungsroutinen zu vermeiden.
    • Möglichkeit, die bedingte Auslösung der Fähigkeiten oder Integrationen zu konfigurieren. Dies bietet die Flexibilität, Automatisierungen basierend auf der Incident-Kategorie automatisch zu starten.
    • Für alle -Fähigkeiten wurde eine Standardfilterbedingung eingeführt, um erkennbare Elemente auf der Allow-Liste zu filtern, bevor Eingaben für die Integrationen bereitgestellt werden.
    Hinweis:
    Dieses neue Fähigkeits-Framework aktualisiert nicht das aktuelle Fähigkeits-Framework. Beide Frameworks können parallel arbeiten. Anweisungen zur Nutzung des neuen Fähigkeits-Frameworks finden Sie unter Verwenden des neuen Capability Framework mit einer installierten Integration und Verwenden des neuen Capability Framework mit einem Flow.

    Unterstützte Integrationen und Komponenten

    Das Plugin „Security Incident Response“ enthält alle in Integration Capabilities Framework 2.0 aufgeführten Fähigkeits-Flows sowie allgemeine Standardfilter, die Sie je nach Anforderung aktivieren oder deaktivieren können.

    Hinweis:
    Wenn Sie das neue Capability Integration Framework mit dem New York-Release verwenden möchten, müssen Sie das Plugin „ServiceNow IntegrationHub Starter Pack Installer“ installieren. Wenden Sie sich an den Kundensupport, um Unterstützung bei der Installation zu erhalten.

    Unterstützte Anwendungsversionen

    Ab Security Incident Response 10.0 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Security Operations Hybrid Analysis Integration 10.0.0
    Security Operations PhishTank-Integration 10.0.0
    Security Operations ThreatCrowd-Integration 10.0.0
    Security Operations CrowdStrike Intelligence-Integration 10.0.0
    Security Operations „Have I been pwned?“ -Integration 10.0.0
    Security Operations Metadefender-Integration 10.0.0
    Aufgezeichnete zukünftige Integration von Security Operations 10.0.0
    Security Operations VirusTotal-Integration 10.0.0
    Security Operations WhoIs-Integration umkehren 10.0.0
    Ab Security Incident Response 10.4 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Security Operations RiskIQ-Integration 10.0.0
    Security Operations Shodan-Integration 10.0.0
    Security Operations WhoIs-Integration 10.0.0
    Security Operations Carbon Black-Integration 10.3.1
    Security Operations Splunk Search-Integration 10.3.0
    Security Operations ArcSight Logger-Integration 10.3.0
    Security Operations McAfee ESM-Integration 10.3.0
    Security Operations Elasticsearch-Integration 10.3.0
    Security Operations IBM QRadar-Integration 10.3.1
    Security Operations CrowdStrike Falcon-Host 10.3.0

    Enthaltene Komponenten

    Das neue Capability Integration Framework enthält die folgenden Komponenten:

    • Fähigkeiten: Alle der folgenden Fähigkeiten, die heute im Produkt als Workflows vorhanden sind, wurden mithilfe von Flowsneu gestaltet:
      • Anforderungblockieren: Bietet eine Möglichkeit, erkennbare Elemente zu blockieren, die einem Security Incident auf einer Firewall, einem Web-Proxy oder einem anderen Kontrollpunkt zugeordnet sind. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • E-Mails suchen undlöschen: Bietet eine Möglichkeit, während einer Sicherheitsuntersuchung einen E-Mail-Server zu durchsuchen und bei Bedarf E-Mails vom Server zu löschen.
      • Konfigurationselementanreichern: Bietet eine allgemeine Möglichkeit, Konfigurationselemente mit zusätzlichen Informationen aus verschiedenen Quellen anzureichern. Diese Funktion wird bei Untersuchungen der Reaktion auf Incidents verwendet, um die mit einem Security Incident verknüpften Daten anzureichern.
      • Erkennbares Elementanreichern: Bietet eine allgemeine Möglichkeit, erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen Quellen anzureichern. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • Event-Erfassung: Bietet eine allgemeine Möglichkeit, einen Security Incident zu erstellen, indem Events aus einer Integrationsquelle einem Security Incident zugeordnet werden.
      • Netzwerkstatistiken abrufen: Ruft eine Liste der aktiven Netzwerkverbindungen von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen für die Ergänzung von Incidents verwendet.
      • Laufende Prozesse abrufen: Ruft eine Liste der laufenden Prozesse von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen für die Ergänzung von Incidents verwendet.
      • Hostisolieren: Bietet eine Möglichkeit, einen Endpunkt oder einen Host zu isolieren, der einem Security Incident zugeordnet ist. „Host isolieren“ wird für ein Konfigurationselement (CI) ausgeführt.
      • In Beobachtungsliste veröffentlichen: Bietet eine Möglichkeit, erkennbare Elemente, die einem Security Incident zugeordnet sind, einer Beobachtungsliste hinzuzufügen, die Sicherheits-Ereignisse überwacht und Warnungen generiert. Diese Funktion wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
      • Sichtungssuche: Durchsucht verschiedene SIEMs oder andere Protokollspeicher nach Instanzen von erkennbaren Elementen. Diese Funktion wird verwendet, um das Vorhandensein schädlicher IoCs in Ihrer Umgebung zu bestimmen.
      • Bedrohungssuche: Führt Threat Intelligence-Suchen durch, um zu bestimmen, ob ein bestimmtes erkennbares Element einer bekannten Sicherheitsbedrohung zugeordnet ist. Diese Funktion wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
    • Neue Tabellen:
      • sn_sec_cmn_capability: Fähigkeit und Flow, der die Fähigkeit implementiert.
      • sn_sec_cmn_capability_implementation: Der tatsächliche Implementierungs-Flow, der die Services der Fähigkeit bereitstellt.
      • sn_sec_cmn_capability_execution: Der Ausführungsdatensatz für eine Fähigkeit zur Laufzeit.
      • sn_sec_cmn_capability_implementation_execution: Der Ausführungsdatensatz für eine Fähigkeitsimplementierung zur Laufzeit.
      • sn_sec_cmn_filter_condition: Die Filterbedingungen, die zur Laufzeit auf die Fähigkeit oder eine Fähigkeitsimplementierung angewendet werden können.
    • Skript einschließen: CapabilityProcessor: Behandelt den gesamten Verarbeitungscode für das Framework.
    • Quotengrenze: Max. gleichzeitige Anforderung pro Zeitraum: Definiert, wie viele Integrationen parallel ausgeführt werden können.
    • Implementierung der Fähigkeit „Geplante Aufgabenverarbeitung“: Wird alle 15 Sekunden ausgeführt und kann auf der Seite „Sicherheitsverwaltungseigenschaften“ deaktiviert werden (Security Incident > Administration > Eigenschaften.
      • Aktiviert oder deaktiviert die geplante Aufgabe „Implementierungen von Fähigkeiten verarbeiten“: Diese Aufgabe plant und verwaltet automatisch Ausführungs-Flows für die Fähigkeitsimplementierung.
      • Aktiviert oder deaktiviert automatisierte Suchen oder Ergänzungen: Einstellung, mit der die geplante Aufgabe aktiviert oder deaktiviert wird, die eine automatisierte Bedrohungssuche oder Ergänzung von erkennbaren Elementen durchführt, wenn erkennbare Elemente zu Security Incidents im aktuellen Fähigkeits-Framework hinzugefügt werden.
      • Aktiviert oder deaktiviert die geplante Aufgabe „Erkennbare Elemente für Security Incident suchen“: Diese Aufgabe plant automatisch eine Aufgabe für die Bedrohungssuche oder das Anreichern von erkennbaren Elementen, wenn einem Security Incident erkennbare Elemente hinzugefügt werden.

    Konfigurationen im neuen Capability Framework

    In diesem Abschnitt werden die im neuen Framework verfügbaren Konfigurationen beschrieben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, flow_designer, action_designer

    Prozedur

    1. Navigieren zu Alle > Security Operations > Integrationen > Fähigkeiten.
      Hinweis:
      Version 10.4: Ab Security Incident Response 10.4 wurde der Menüname Fähigkeiten in Integration Capabilities (Flows)geändert.
    2. Die mit dem Basissystem verfügbaren Fähigkeiten werden angezeigt.

      Fähigkeits-Flows: sofort einsatzbereit
      Hinweis:

      Dies sind die mit dem Basissystem bereitgestellten Funktionen. Sie können die -Fähigkeiten von verwenden oder sie nach Bedarf anpassen. Die folgenden Schritte beschreiben die Konfiguration einer Fähigkeit und die für die Fähigkeit implementierten Integrationen.

    3. Klicken Sie auf den Link in der Spalte Name, um eine Fähigkeit zu konfigurieren.
      Name, Anwendung, Beschreibung und Flow, den die Fähigkeit implementiert, werden angezeigt.
      Fähigkeitsabläufe: Konfigurieren Sie die Fähigkeit
    4. Aktivieren Sie das Kontrollkästchen Aktiv, um die Fähigkeit zu aktivieren.
      • Filterbedingungen auf Fähigkeitsebene: Wenn eine Integrationsfähigkeit einen Flow implementiert, werden die dem Flow zugeordneten Filterbedingungen ausgeführt, bevor der Fähigkeits-Flow gestartet wird. Zum Beispiel enthält die Fähigkeit „Bedrohungssuche“ die Bedingung „Erkennbare Elemente auf Allow-Liste filtern“, wie oben gezeigt. Klicken Sie auf den Link Name, um die Filterbedingung zu bearbeiten.
        Hinweis:
        Aktivieren Sie das Kontrollkästchen Arbeitsnotiz zu Aufgabe hinzufügen, um Arbeitsnotizen hinzuzufügen, die Informationen zu den verwendeten Filterbedingungen enthalten.

        Fähigkeitsabläufe: Fähigkeit konfigurieren: Filterbedingung bearbeiten

        Sie können entweder Filterbedingungen oder ein Skript oder eine Kombination aus beidem definieren. Im obigen Beispiel wird ein Skript verwendet, um die Filterbedingungen zu definieren. Wenn der Fähigkeits-Flow ausgeführt wird, sucht das Skript nach erkennbaren Elementen auf der Allow-Liste und entfernt sie aus der Tabelle.

        Hinweis:
        Die hier festgelegten Filterbedingungen gelten für alle aktiven Integrationen, die auf der Registerkarte „Fähigkeitsimplementierungen “ definiert sind.
      • Fähigkeitsimplementierungen: Klicken Sie auf die Registerkarte Fähigkeitsimplementierungen. Die Implementierungen (Integrationen), die für die Fähigkeit konfiguriert wurden, werden angezeigt. Das folgende Beispiel zeigt die Integrationen, die für die Fähigkeit „Bedrohungssuche“ konfiguriert wurden:
        Fähigkeits-Flows: Bedrohungssuche: Fähigkeitsimplementierungen
    5. Klicken Sie auf den Link Name, um die Fähigkeitsimplementierung anzuzeigen.
      Name, Anwendung, Beschreibung und Flow, den die Fähigkeit implementiert, werden angezeigt.
    6. Klicken Sie auf das Kontrollkästchen Aktiv, um die Fähigkeit zu aktivieren.
      Fähigkeits-Flows: Bedrohungssuche: VirusTotal

      Sie können die folgenden Details angeben:

      Feldname Beschreibung
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese Integration zu deaktivieren.
      Hinweis:
      Wenn Sie diese Integration mithilfe der Integrationskachel in der konfigurieren Security Operations > Integrationen > Integrationskonfigurationen-Seite wird diese Kennzeichnung automatisch auf Aktivgesetzt.
      Bestellen Gibt die Reihenfolge an, in der die Integrationen ausgeführt werden.
      Fähigkeit Die durch diese Integration implementierte Fähigkeit.
      Flow Subflow, der die Fähigkeit implementiert.
      Konfiguration Die Integrationskonfiguration für diese Fähigkeit.
      Hinweis:
      Diese ist anfänglich auf die mit dem Basissystem bereitgestellte Standardkonfiguration festgelegt. Wenn eine Integration mithilfe der Integrationskachel auf der Seite „ Integrationskonfigurationen“ konfiguriert wird, wird dieser Wert automatisch auf die neu erstellte Konfiguration zurückgesetzt.
      Quotengrenze Gibt die Anzahl der Integrationen an, die zur Laufzeit ausgeführt werden können (parallel oder pro Zeiteinheit).
      Batch-Eingabegröße Die Batch-Eingabegröße für jede Ausführung. Zum Beispiel möchten Sie für eine Sichtungssuchintegration die erkennbaren Elemente in Batches von 50 gruppieren, damit die generierten Abfragen nicht zu groß werden. 0 gibt an, dass es keine Begrenzung gibt.
      Zeitüberschreitungszeitraum Die maximale Dauer, bevor der Fähigkeitsimplementierungs-Flow abgebrochen wird. 0 gibt an, dass es keine Zeitüberschreitung gibt.
      Anforderungen insgesamt Die Gesamtzahl der Implementierungsausführungsanforderungen. Dieses Feld kann in Verbindung mit dem Feld Gesamtanforderungszeitraum verwendet werden, um die Anzahl der Anforderungen an den Service zu begrenzen. Sie können beispielsweise die Anzahl auf 4 Anforderungen pro Minute beschränken.
      Anforderungen insgesamt im Zeitraum Die Gesamtzahl der pro Zeitraum zulässigen Ausführungsanforderungen.
      Wiederholungsbegrenzung Die Anzahl der zulässigen Wiederholungsversuche für eine fehlgeschlagene Ausführungsanforderung. Dieses Limit gilt, wenn die Kennzeichnung „Wiederholen“ in Ihrer Integration festgelegt ist, um eine Ausführungsanforderung zu wiederholen, wenn eine Bedingung erfüllt ist.

      Beispielsweise wird eine Wiederholungsanforderung gestellt, wenn Sie Ihr Lizenzlimit für diesen Service für einen bestimmten Zeitraum überschritten haben oder der Service ausgefallen ist.
      Wiederholen nach Der Zeitraum, nach dem versucht wird, eine fehlgeschlagene Ausführungsanforderung zu wiederholen.
      Max. gleichzeitige Anforderungen Die maximale Anzahl gleichzeitiger Implementierungsausführungsanforderungen. 0 bedeutet keine Begrenzung.
      Sichtungssuchkonfigurationen Die standardmäßigen Sichtungssuchabfragen, die ausgeführt werden können.
      Klicken Sie im Abschnitt „Filterbedingungen“ auf den Link Name, um die für die Implementierung definierten Bedingungen zu konfigurieren. Fügen Sie Filterbedingungen hinzu oder löschen Sie sie, ändern Sie das Skript bei Bedarf, und aktualisieren Sie den Datensatz.
      Fähigkeits-Flows: Bedrohungssuche: VirusTotal: Filterbedingung

    Verwenden des neuen Capability Framework mit einer installierten Integration

    In diesem Abschnitt wird beschrieben, wie Sie das neue Framework für eine vorhandene Integration verwenden.

    Führen Sie die folgenden Schritte aus, um eine bereits installierte und konfigurierte Integration zu aktivieren (siehe Liste der unterstützten Integrationen in Unterstützte Integrationen und Komponenten), um das neue Fähigkeits-Framework zu verwenden.

    Hinweis:
    Integration Capability Framework 2.0, verfügbar mit Security Incident Response 10.0.2, unterstützt Implementierungen für die Fähigkeiten „ Bedrohungssuche“ und „Erkennbares Element anreichern“. Implementierungen für andere Fähigkeiten werden in einem zukünftigen Release verfügbar gemacht.
    Bevor Sie beginnen
    • Erforderliche Rolle: sn_si.admin
    • Security Incident Response 10.0.2
    1. Navigieren zu Security Operations > Integrationen > Fähigkeiten.
    2. Klicken Sie auf die Fähigkeit „Bedrohungssuche“.
    3. Klicken Sie auf die Registerkarte Fähigkeiten – Implementierung.
      Fähigkeits-Framework: Neue Fähigkeit
    4. 4. Zeigen Sie den Fähigkeitsimplementierungsdatensatz für die gewünschte Integration an (Beispiel: Crowdstrike Falcon Intelligence). Die Spalte Aktiv muss den Wert Falsehaben.
    5. Klicken Sie auf den Link Name, um den Implementierungsdatensatz anzuzeigen.
      Fähigkeits-Framework: Neuer Fähigkeitsimplementierungsdatensatz
    6. Aktivieren Sie die Checkbox Aktiv.
    7. Stellen Sie sicher, dass der Implementierungsdatensatz auf den richtigen Konfigurationsdatensatz verweist (den Kachelnamen für die Integration in). Integrationskonfigurationen > Konfigurationen anzeigen (Ja)) an.
      Fähigkeits-Framework: Konfigurationskachel
    8. Die Implementierung von ist für die Verwendung mit dem neuen Framework aktiviert.
    Hinweis:
    Alle unterstützten Integrationen, wenn sie mit Security Incident Response 10.0.2 installiert werden, werden automatisch unter dem neuen Integration Capability Framework aktiviert.

    Verwenden des neuen Capability Framework mit einem Flow

    Führen Sie die folgenden Schritte aus, um einen Flow zu erstellen und den vom neuen Fähigkeits-Framework bereitgestellten Subflow aufzurufen.

    Vorbereitungen

    Die folgenden Schritte beschreiben, wie Sie einen Beispiel-Flow erstellen und einen der mit dem neuen Fähigkeits-Framework bereitgestellten Subflows aufrufen.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designer.
    2. Klicken Sie auf Neu, um einen neuen Flow zu erstellen und die erforderlichen Informationen für die Eigenschaften anzugeben.
      Fähigkeits-Framework: Neuen Flow erstellen
      Hinweis:
      Wählen Sie Systembenutzer in der Auswahlliste Ausführen als aus, wie in der obigen Abbildung gezeigt.
    3. Wählen Sie eine Auslöserbedingung für den Flow aus (ein häufiger Auslöser ist die Erstellung eines Security Incident-Datensatzes für eine bestimmte Incident-Kategorie).
      Fähigkeits-Framework: Neuen Flow erstellen: Auslöser
    4. Wählen Sie in Schritt 1 des Flows eine Aktion aus, um Eingaben aus dem Security Incident zu erhalten (z. B. erkennbare Elemente).
      Sie können eine Aktion aus den mit dem Basissystem bereitgestellten Aktionen mit der allgemeinen Sicherheitssupport-Spoke auswählen.

      Fähigkeits-Framework: Neuen Flow erstellen: Aktion
    5. Wählen Sie in Schritt 2 einen Subflow aus (z. B. Bedrohungssuche).
      Fähigkeits-Framework: Neuen Flow erstellen: Subflow
    6. Konfigurieren Sie den ausgewählten Subflow wie folgt:
      Capability Framework: Neuen Flow erstellen: Subflow konfigurieren
    7. Speichern und veröffentlichen Sie den Flow.

    Problembehandlung bei Integration Capability-Flows

    Die Option Fähigkeitsausführungen enthält detaillierte Informationen zu jeder Fähigkeit, die ausgeführt wurde.

    Hinweis:
    Abgeschlossene Ausführungen werden nach 30 Tagen archiviert.
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitsausführungen..

      Fähigkeits-Framework: Fähigkeitsausführungen
    2. Klicken Sie auf den Link Fähigkeitsausführungen, um zusätzliche Details anzuzeigen.

    Arbeitsnotizen zu Security Incident-Datensatz

    Wenn einem Security Incident erkennbare Elemente hinzugefügt wurden und die Auslöserbedingung für den Flow erfüllt ist, werden die Subflows „Bedrohungssuche“ und „Erkennbares Element anreichern“ initiiert und die folgenden Arbeitsnotizen werden dem Security Incident hinzugefügt:
    • Flow-Ausführung gestartet: Integration von Sicherheitsvorgängen – Erkennbares Element anreichern V1
    • Flow-Ausführung abgeschlossen: Integration von Sicherheitsvorgängen – Erkennbares Element anreichern V1
    • Flow-Ausführung gestartet: Security Operations Integration – Threat Lookup V1
    • Flow-Ausführung abgeschlossen: Security Operations Integration – Threat Lookup V1

    Um diese Arbeitsnotizen anzuzeigen, melden Sie sich als Benutzer mit den Rollen sn_si.admin oder sn_si.analyst, flow_designerund action_designer an.

    Navigieren Sie zur Security Incident-Datensatzseite, und klicken Sie auf diese Arbeitsnotizen, um die Details der Flow-Ausführung anzuzeigen.
    Fähigkeits-Framework: Security Incident: Arbeitsnotizen