Framework für Integrationsfähigkeiten 2.0

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 10 Minuten Lesedauer

    • Das neue Integration Capabilities Framework 2.0 wurde überarbeitet, um eine einfache und konsistente Implementierung von Integrationen zu ermöglichen. Dies stellt eine konsistente Experience für ähnliche Arten von Integrationen sicher (z. B. Reputationssuche erkennbarer Elemente).

    Das neue -Framework verfügt über Funktionen, die mithilfe von Flowsimplementiert werden.

    Zu den Vorteilen der Implementierung des erweiterten Frameworks gehören:

    • Die Fähigkeits-Flows, die nur Komponenten auf Geschäftsebene ohne implementierte spezifische Logik enthalten.
    • Die Fähigkeits-Flows akzeptieren jetzt eine breite Palette von Eingaben und Formaten für maximale Flexibilität (z. B. Referenzen erkennbarer Elemente, CI-Referenzen, Aufgaben, beliebige Tabellen- oder sys_id-Kombinationen).
    • Quotenbegrenzung oder Drosselung bei Integrationsausführungen ist jetzt einfach zu konfigurieren (die Notwendigkeit, dies mit benutzerdefiniertem Code oder Änderungen an Implementierungs-Workflows zu tun, entfällt).
    • Erweiterte Audit- und Ausführungsnachverfolgungsfunktionen ermöglichen jetzt eine bessere Berichterstellung und erleichtern die Problembehandlung.
    • Robuste Fehlerbehandlungsfunktionen sind in die Fähigkeits-Flows integriert, um die Duplizierung von Implementierungsroutinen zu vermeiden.
    • Möglichkeit zur Konfiguration der bedingten Auslösung der Fähigkeiten oder Integrationen. Dies bietet die Flexibilität, Automatisierungen automatisch basierend auf der Incident-Kategorie zu starten.
    • Für alle Fähigkeiten wurde eine Standardfilterbedingung eingeführt, um auf der Zulassungsliste erkennbare Elemente zu filtern, bevor Eingaben für die Integrationen bereitgestellt werden.
    Hinweis:
    Dieses neue Fähigkeits-Framework aktualisiert das aktuelle Fähigkeits-Framework nicht. Beide Frameworks können parallel arbeiten. Anweisungen zur Nutzung des neuen Capability Framework finden Sie unter Mittels des neuen Fähigkeiten-Frameworks mit einer installierten Integration und Verwenden des neuen Fähigkeits-Frameworks mit einem Flow.

    Unterstützte Integrationen und Komponenten

    Das Security Incident Response-Plugin enthält alle in Integration Capabilities Framework 2.0 aufgeführten Fähigkeits-Flows sowie allgemeine Standardfilter, die Sie je nach Anforderung aktivieren oder deaktivieren können.

    Hinweis:
    Wenn Sie das neue Capability Integration Framework mit dem New York-Release verwenden möchten, müssen Sie das ServiceNow IntegrationHub Starter Pack Installer-Plugin installieren. Wenden Sie sich an den Kundensupport, um Unterstützung bei der Installation zu erhalten.

    Unterstützte Anwendungsversionen

    Ab Security Incident Response 10.0 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    Integration der Hybridanalyse von Security Operations 10.0.0
    PhishTank-Integration für Security Operations 10.0.0
    Security Operations ThreatCrowd Integration 10.0.0
    Integration von CrowdStrike Intelligence in Security Operations 10.0.0
    Security Operations „Have I Been Pwned?“ Integration 10.0.0
    Security Operations Metadefender Integration 10.0.0
    Security Operations Recorded Future Integration 10.0.0
    Security Operations VirusTotal-Integration 10.0.0
    Security Operations – WhoIs-Integration umkehren 10.0.0
    Ab Security Incident Response 10.4 werden die folgenden Integrationen unterstützt:
    Anwendung Mindestversion erforderlich
    RiskIQ-Integration von Security Operations 10.0.0
    Shodan-Integration für Security Operations 10.0.0
    WhoIs-Integration von Security Operations 10.0.0
    Security Operations Carbon Black Integration 10.3.1
    Security Operations Splunk Search Integration 10.3.0
    Integration der ArcSight-Protokollierung in Security Operations 10.3.0
    Security Operations – McAfee ESM-Integration 10.3.0
    Elasticsearch-Integration für Security Operations 10.3.0
    Security Operations IBM QRadar Integration 10.3.1
    CrowdStrike Falcon-Host für Security Operations 10.3.0

    Enthaltene Komponenten

    Das neue Framework für Fähigkeitsintegrationen enthält die folgenden Komponenten:

    • Fähigkeiten: Alle der folgenden Fähigkeiten, die heute im Produkt als Workflows vorhanden sind, wurden mit Flowsneu gestaltet:
      • Anforderungblockieren: Bietet eine Möglichkeit, erkennbare Elemente zu blockieren, die einem Security Incident an einer Firewall, einem Webproxy oder einem anderen Kontrollpunkt zugeordnet sind. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • E-Mails suchen undlöschen: Bietet eine Möglichkeit, einen E-Mail-Server während einer Sicherheitsuntersuchung zu durchsuchen und bei Bedarf E-Mails vom Server zu löschen.
      • Configuration Itemergänzen: Bietet eine allgemeine Möglichkeit, Configuration Items mit zusätzlichen Informationen aus verschiedenen Quellen zu ergänzen. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um die einem Security Incident zugeordneten Daten anzureichern.
      • Erkennbares Elementanreichern: Bietet eine allgemeine Möglichkeit, erkennbare Elemente mit zusätzlichen Informationen aus verschiedenen Quellen zu ergänzen. Diese Fähigkeit wird während bei der Reaktion auf Incidents während Untersuchungen verwendet, um eine identifizierte Bedrohung einzudämmen.
      • Ereigniserfassung: Bietet eine allgemeine Möglichkeit, einen Security Incident zu erstellen, indem Ereignisse aus einer Integrationsquelle einem Security Incident zugeordnet werden.
      • Netzwerkstatistiken abrufen: Ruft eine Liste aktiver Netzwerkverbindungen von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen für die Ergänzung von Incidents verwendet.
      • Laufende Prozesse abrufen: Ruft eine Liste laufender Prozesse von einem Endpunkt oder Host ab. Diese Funktion wird bei Untersuchungen für die Ergänzung von Incidents verwendet.
      • Hostisolieren: Bietet eine Möglichkeit, einen Endpunkt oder Host zu isolieren, der einem Security Incident zugeordnet ist. „Host isolieren“ wird für ein Configuration Item (CI) ausgeführt.
      • In Beobachtungsliste veröffentlichen: Bietet eine Möglichkeit, erkennbare Elemente, die einem Security Incident zugeordnet sind, einer Beobachtungsliste hinzuzufügen, die Sicherheitsereignisse überwacht und Warnungen generiert. Diese Funktion wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
      • Sichtungssuche: Durchsucht verschiedene SIEMs oder andere Protokollspeicher nach Instanzen von erkennbaren Elementen. Diese Funktion wird verwendet, um das Vorhandensein schädlicher IoCs in Ihrer Umgebung festzustellen.
      • Bedrohungssuche: Führt Threat Intelligence-Suchen durch, um zu bestimmen, ob ein bestimmtes erkennbares Element einer bekannten Sicherheitsbedrohung zugeordnet ist. Diese Funktion wird als Teil der Reaktion auf Incidents während Untersuchungen verwendet.
    • Neue Tabellen:
      • sn_sec_cmn_capability: Fähigkeit und Flow, die die Fähigkeit implementiert.
      • sn_sec_cmn_capability_implementation: Der tatsächliche Implementierungs-Flow, der die Services der Fähigkeit bereitstellt.
      • sn_sec_cmn_capability_execution: Der Ausführungsdatensatz für eine Fähigkeit zur Laufzeit.
      • sn_sec_cmn_capability_implementation_execution: Der Ausführungsdatensatz für eine Fähigkeitsimplementierung zur Laufzeit.
      • sn_sec_cmn_filter_condition: Die Filterbedingungen, die zur Laufzeit auf die Fähigkeit oder eine Fähigkeitsimplementierung angewendet werden können.
    • Skript einschließen: CapabilityProcessor: Verarbeitet den gesamten Verarbeitungscode für das Framework.
    • Quotengrenze: Max. gleichzeitige Anforderungen pro Zeitraum: Definiert, wie viele Integrationen parallel ausgeführt werden können.
    • Implementierung der Prozessfähigkeit für geplante Aufgaben: Wird alle 15 Sekunden ausgeführt und kann auf der Seite mit den Sicherheitsadministrationseigenschaften deaktiviert werden (Security Incident > Administration > Eigenschaftenan.
      • Aktiviert oder deaktiviert die geplante Aufgabe Fähigkeitsimplementierungen verarbeiten: Diese Aufgabe plant und verwaltet automatisch Ausführungs-Flows für Fähigkeitsimplementierungen.
      • Aktiviert oder deaktiviert automatisierte Suchen oder Ergänzungen: Einstellung, mit der die geplante Aufgabe aktiviert oder deaktiviert wird, die die automatisierte Bedrohungssuche oder die Anreicherung von erkennbaren Elementen durchführt, wenn erkennbare Elemente zu Security Incidents im aktuellen Fähigkeits-Framework hinzugefügt werden.
      • Aktiviert oder deaktiviert die geplante Aufgabe „Nach erkennbaren Security Incident-Elementen suchen“: Diese Aufgabe plant automatisch eine Aufgabe für die Bedrohungssuche oder die Ergänzung erkennbarer Elemente, wenn erkennbare Elemente zu einem Security Incident hinzugefügt werden.

    Konfigurationen im neuen Fähigkeiten-Framework

    In diesem Abschnitt werden die im neuen -Framework verfügbaren Konfigurationen beschrieben.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin, flow_designer, action_designer

    Prozedur

    1. Navigieren zu Alle > Security Operations > Integrationen > Fähigkeitenan.
      Hinweis:
      Version 10.4: Ab Security Incident Response 10.4 wurde der Menüname Fähigkeiten in Integrationsfähigkeiten (Flows)geändert.
    2. Die mit dem Basissystem verfügbaren Fähigkeiten werden angezeigt.

      Fähigkeits-Flows: sofort einsatzbereit
      Hinweis:

      Dies sind die mit dem Basissystem bereitgestellten Funktionen. Sie können die Fähigkeiten verwenden oder sie nach Bedarf anpassen. In den folgenden Schritten wird beschrieben, wie Sie eine Fähigkeit und die für die Fähigkeit implementierten Integrationen konfigurieren.

    3. Klicken Sie auf den Link in der Spalte Name, um eine Fähigkeit zu konfigurieren.
      Name, Anwendung, Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
      Fähigkeits-Flows: Konfigurieren Sie die Fähigkeit
    4. Aktivieren Sie das Kontrollkästchen Aktiv, um die Fähigkeit zu aktivieren.
      • Filterbedingungen auf Fähigkeitsebene: Wenn eine Integrationsfähigkeit einen Flow implementiert, werden die mit dem Flow verknüpften Filterbedingungen ausgeführt, bevor der Fähigkeits-Flow gestartet wird. Beispielsweise enthält die Fähigkeit „Bedrohungssuche“ wie oben dargestellt die Bedingung Filter Allowlisted Observables. Klicken Sie auf den Link Name, um die Filterbedingung zu bearbeiten.
        Hinweis:
        Aktivieren Sie das Kontrollkästchen Arbeitsnotiz zu Aufgabe hinzufügen, um Arbeitsnotizen hinzuzufügen und Informationen zu den verwendeten Filterbedingungen hinzuzufügen.

        Fähigkeits-Flows: Fähigkeit konfigurieren: Filterbedingung bearbeiten

        Sie können entweder Filterbedingungen oder ein Skript oder eine Kombination aus beidem definieren. Im obigen Beispiel wird ein Skript verwendet, um die Filterbedingungen zu definieren. Wenn der Fähigkeits-Flow ausgeführt wird, sucht das Skript nach erkennbaren Elementen auf der Zulassungsliste und entfernt sie aus der Tabelle.

        Hinweis:
        Die hier festgelegten Filterbedingungen gelten für alle aktiven Integrationen, die auf der Registerkarte Fähigkeitsimplementierungen definiert sind.
      • Fähigkeitsimplementierungen: Klicken Sie auf die Registerkarte Fähigkeitsimplementierungen. Die Implementierungen (Integrationen), die für die Fähigkeit konfiguriert wurden, werden angezeigt. Das folgende Beispiel zeigt die Integrationen, die für die Fähigkeit „Bedrohungssuche“ konfiguriert sind:
        Fähigkeits-Flows: Bedrohungssuche: Fähigkeitsimplementierungen
    5. Klicken Sie auf den Link Name, um die Fähigkeitsimplementierung anzuzeigen.
      Name, Anwendung, Beschreibung und der Flow, den die Fähigkeit implementiert, werden angezeigt.
    6. Klicken Sie auf das Kontrollkästchen Aktiv, um die Fähigkeit zu aktivieren.
      Fähigkeits-Flows: Bedrohungssuche: VirusTotal

      Sie können die folgenden Details angeben:

      Feldname Beschreibung
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese Integration zu deaktivieren.
      Hinweis:
      Wenn Sie diese Integration mithilfe der Integrationskachel in konfigurieren, finden Sie in Security Operations > Integrationen > IntegrationskonfigurationenSeite wird diese Kennzeichnung automatisch auf Aktivgesetzt.
      Bestellung Gibt die Reihenfolge an, in der die Integrationen ausgeführt werden.
      Fähigkeit Die von dieser Integration implementierte Fähigkeit.
      Flow Der Subflow, der die Fähigkeit implementiert.
      Konfiguration Die Integrationskonfiguration für diese Fähigkeit.
      Hinweis:
      Dies ist anfänglich auf die mit dem Basissystem bereitgestellte Standardkonfiguration festgelegt. Wenn eine Integration mithilfe der Integrationskachel auf der Seite „ Integrationskonfigurationen“ konfiguriert wird, wird dieser Wert automatisch auf die neu erstellte Konfiguration zurückgesetzt.
      Quotengrenze Gibt die Anzahl der Integrationen an, die zur Laufzeit ausgeführt werden können (parallel oder pro Zeiteinheit).
      Batch-Eingabegröße Die Batch-Eingabegröße für jede Ausführung. Beispielsweise können Sie für eine Sichtungssuche-Integration die erkennbaren Elemente in Batches von 50 gruppieren, damit die generierten Abfragen nicht zu groß werden. 0 gibt an, dass es keine Begrenzung gibt.
      Zeitüberschreitungszeitraum Die maximale Dauer, bevor der Fähigkeitsimplementierungs-Flow abgebrochen wird. 0 gibt an, dass es keine Zeitüberschreitung gibt.
      Anforderungen insgesamt Die Gesamtzahl der Anforderungen zur Implementierungsausführung. Dieses Feld kann in Verbindung mit dem Feld Gesamtanforderungszeitraum verwendet werden, um die Anzahl der Anforderungen an den Service zu begrenzen. Sie können beispielsweise die Anzahl auf 4 Anforderungen pro Minute begrenzen.
      Anforderungen insgesamt im Zeitraum Die Gesamtzahl der pro Zeitraum zulässigen Ausführungsanforderungen.
      Wiederholungsbegrenzung Die Anzahl der zulässigen Wiederholungen für eine fehlgeschlagene Ausführungsanforderung. Dieser Grenzwert gilt, wenn in Ihrer Integration die Wiederholungskennzeichnung festgelegt ist, um eine Ausführungsanforderung zu wiederholen, wenn eine Bedingung erfüllt ist.

      Eine Wiederholungsanforderung wird beispielsweise gestellt, wenn Sie Ihr Lizenzlimit für diesen Service für einen bestimmten Zeitraum überschritten haben oder der Service ausgefallen ist.
      Wiederholen nach Der Zeitraum, nach dem versucht wird, eine fehlgeschlagene Ausführungsanforderung zu wiederholen.
      Max. gleichzeitige Anforderungen Die maximale Anzahl gleichzeitiger Anforderungen zur Implementierungsausführung. 0 bedeutet keine Begrenzung.
      Sichtungssuchkonfigurationen Die standardmäßigen Sichtungssuchabfragen, die ausgeführt werden können.
      Klicken Sie auf den Link Name im Abschnitt Filterbedingungen, um die für die Implementierung definierten Bedingungen zu konfigurieren. Fügen Sie Filterbedingungen hinzu, oder löschen Sie sie, ändern Sie das Skript bei Bedarf, und aktualisieren Sie den Datensatz.
      Fähigkeits-Flows: Bedrohungssuche: VirusTotal: Filterbedingung

    Mittels des neuen Fähigkeiten-Frameworks mit einer installierten Integration

    In diesem Abschnitt wird beschrieben, wie Sie das neue -Framework für eine vorhandene -Integration verwenden.

    Führen Sie die folgenden Schritte aus, um eine bereits installierte und konfigurierte Integration (siehe Liste der unterstützten Integrationen in Unterstützte Integrationen und Komponenten) für die Verwendung des neuen Fähigkeits-Frameworks zu aktivieren.

    Hinweis:
    Das mit Security Incident Response 10.0.2 verfügbare Integration Capability Framework 2.0 unterstützt Implementierungen der Fähigkeiten „ Bedrohungssuche“ und „Erkennbares Element anreichern“. Implementierungen für andere Fähigkeiten werden in einem zukünftigen Release verfügbar gemacht.
    Bevor Sie beginnen
    • Erforderliche Rolle: sn_si.admin
    • Security Incident Response 10.0.2
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitenan.
    2. Klicken Sie auf die Fähigkeit zur Bedrohungssuche.
    3. Klicken Sie auf die Registerkarte Fähigkeiten-Implementierung.
      Fähigkeits-Framework: Neue Fähigkeit
    4. 4. Zeigen Sie den Datensatz „Fähigkeitsimplementierung“ für die Integration an, die Sie interessiert (Beispiel: Crowdstrike Falcon Intelligence). Die Spalte „ Aktiv “ muss den Wert Falseaufweisen.
    5. Klicken Sie auf den Link Name, um den Implementierungsdatensatz anzuzeigen.
      Fähigkeits-Framework: Neuer Fähigkeitsimplementierungsdatensatz
    6. Aktivieren Sie die Checkbox Aktiv.
    7. Stellen Sie sicher, dass der Implementierungsdatensatz auf den richtigen Konfigurationsdatensatz (den Kachelnamen für die Integration in) verweist Integrationskonfigurationen > Konfigurationen anzeigen (Ja)) an.
      Fähigkeits-Framework: Konfigurationskachel
    8. Die Implementierung von ist für die Verwendung mit dem neuen -Framework aktiviert.
    Hinweis:
    Alle unterstützten Integrationen werden bei der Installation mit Security Incident Response 10.0.2 automatisch unter dem neuen Integration Capability Framework aktiviert.

    Verwenden des neuen Fähigkeits-Frameworks mit einem Flow

    Führen Sie die folgenden Schritte aus, um einen Flow zu erstellen und den vom neuen Fähigkeits-Framework bereitgestellten Subflow aufzurufen.

    Vorbereitungen

    In den folgenden Schritten wird beschrieben, wie Sie einen Beispiel-Flow erstellen und einen der mit dem neuen Fähigkeits-Framework bereitgestellten Subflows aufrufen.

    Prozedur

    1. Navigieren zu Alle > Flow Designer > Designeran.
    2. Klicken Sie auf Neu, um einen neuen Flow zu erstellen und die erforderlichen Informationen für die Eigenschaften anzugeben.
      Fähigkeits-Framework: Neuen Flow erstellen
      Hinweis:
      Wählen Sie in der Auswahlliste Ausführen als die Option Systemanwender aus (siehe Abbildung oben).
    3. Wählen Sie eine Auslöserbedingung für den Flow aus (ein häufiger Auslöser ist die Erstellung eines Security Incident-Datensatzes für eine bestimmte Incident-Kategorie).
      Fähigkeits-Framework: Neuen Flow erstellen: Auslöser
    4. Wählen Sie in Schritt 1 des Flows eine Aktion aus, um Eingaben aus dem Security Incident zu erhalten (z. B. erkennbare Elemente).
      Mit der Security Support Common Spoke können Sie eine Aktion aus den im Basissystem bereitgestellten Aktionen auswählen.

      Fähigkeits-Framework: Neuen Flow erstellen: Aktion
    5. Wählen Sie in Schritt 2 einen Subflow aus (z. B. Bedrohungssuche).
      Fähigkeits-Framework: Neuen Flow erstellen: Subflow
    6. Konfigurieren Sie den ausgewählten Subflow wie unten gezeigt:
      Fähigkeits-Framework: Neuen Flow erstellen: Subflow konfigurieren
    7. Speichern und veröffentlichen Sie den Flow.

    Flows zur Problembehandlung bei Integrationsfähigkeiten

    Die Option Fähigkeitsausführungen bietet detaillierte Informationen zu jeder ausgeführten Fähigkeit.

    Hinweis:
    Abgeschlossene Ausführungen werden nach 30 Tagen archiviert.
    1. Navigieren zu Security Operations > Integrationen > Fähigkeitsausführungenan.

      Fähigkeits-Framework: Fähigkeitsausführungen
    2. Klicken Sie auf den Link Fähigkeitsausführungen, um zusätzliche Details anzuzeigen.

    Arbeitsnotizen zu Security Incident-Datensatz

    Wenn einem Security Incident erkennbare Elemente hinzugefügt wurden und die Auslöserbedingung für den Flow erfüllt ist, werden die Subflows „Bedrohungssuche“ und „Erkennbares Element ergänzen“ initiiert, und die folgenden Arbeitsnotizen werden dem Security Incident hinzugefügt:
    • Flow-Ausführung gestartet: Security Operations Integration – Erkennbares Element ergänzen V1
    • Flow-Ausführung abgeschlossen: Security Operations Integration - Enrich Observable V1
    • Flow-Ausführung gestartet: Security Operations Integration – Bedrohungssuche V1
    • Flow-Ausführung abgeschlossen: Security Operations Integration – Bedrohungssuche V1

    Um diese Arbeitsnotizen anzuzeigen, melden Sie sich als Benutzer mit den Rollen sn_si.admin oder sn_si.analyst, flow_designerund action_designer an.

    Navigieren Sie zur Datensatzseite des Security Incidents, und klicken Sie auf diese Arbeitsnotizen, um die Details zur Flow-Ausführung anzuzeigen.
    Fähigkeits-Framework: Security Incident: Arbeitsnotizen