Cadre de travail des capacités d’intégration 2.0

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 13 minutes de lecture

    • Le nouveau Cadre de travail des capacités d’intégration 2.0 a été remanié pour permettre la mise en œuvre des intégrations de manière simple et cohérente. Cela garantit une expérience cohérente pour des types d’intégrations similaires (par exemple : la recherche de réputation de l’observable).

    Le nouveau cadre de travail dispose d’options implémentées à l’aide de flux.

    Les avantages de la mise en œuvre améliorée du cadre sont les suivants :

    • Flux d’aptitude qui incluent uniquement des composants de niveau métier sans logique spécifique à l’implémentation.
    • Les flux d’aptitude acceptent désormais un large éventail d’entrées et de formats pour une flexibilité maximale (par exemple, références d’observables, références de CI, tâches, toute combinaison de tables ou de sys_id).
    • La limitation ou l’étranglement des exécutions d’intégration est désormais facile à configurer (il n’est plus nécessaire d’utiliser du code personnalisé ou de modifier les workflows d’implémentation).
    • Des fonctionnalités améliorées d’audit et de suivi des exécutions permettent désormais d’améliorer les rapports et de faciliter le dépannage.
    • Des fonctions robustes de gestion des erreurs sont intégrées aux flux d’aptitude pour éviter la duplication des routines d’implémentation.
    • Possibilité de configurer le déclenchement conditionnel des options ou des intégrations. Cela offre la flexibilité nécessaire pour lancer automatiquement des automatisations en fonction de la catégorie d’incident.
    • Une condition de filtre par défaut a été introduite sur toutes les options pour filtrer les observables répertoriés autorisés avant que les entrées ne soient fournies aux intégrations.
    Remarque :
    Ce nouveau cadre de travail d’aptitude ne met pas à niveau le cadre de travail d’aptitude actuel. Les deux cadres peuvent fonctionner en parallèle. Pour obtenir des instructions sur la façon de tirer parti du nouveau cadre de travail d’aptitude, reportez-vous à la section Utiliser le nouveau cadre de travail d’aptitude avec une intégration installée et Utilisation du nouveau cadre de travail d’aptitude avec un flux.

    Intégrations et composants pris en charge

    Le module d’extension Réponse aux incidents de sécurité inclut tous les flux d’aptitude répertoriés dans le Cadre de travail des options d’intégration 2.0, ainsi que des filtres standard de haut niveau que vous pouvez activer ou désactiver en fonction de vos besoins.

    Remarque :
    Si vous souhaitez utiliser le nouveau Cadre de travail d’intégration des aptitudes avec la version New York, vous devez installer le module d’extension ServiceNow Centre d’intégration pour le pack de démarrage. Contactez l’assistance clientèle pour obtenir de l’aide pour l’installation.

    Versions d’application prises en charge

    À partir de Réponse aux incidents de sécurité 10.0, les intégrations suivantes sont prises en charge :
    Application Version minimale requise
    Intégration de l’analyse hybride dans les opérations de sécurité 10.0.0
    Intégration de Security Operations PhishTank 10.0.0
    Intégration de ThreatCrowd pour Opérations de sécurité 10.0.0
    Intégration de CrowdStrike Intelligence pour Opérations de sécurité 10.0.0
    Opérations de sécurité : « Ai-je été pwned ? » Intégration 10.0.0
    Intégration de Security Operations Metadefender 10.0.0
    Opérations de sécurité : intégration ultérieure enregistrée 10.0.0
    Intégration de VirusTotal dans Security Operations 10.0.0
    Intégration Inverser WhoIs des opérations de sécurité 10.0.0
    À partir de Réponse aux incidents de sécurité 10.4, les intégrations suivantes sont prises en charge :
    Application Version minimale requise
    Intégration de RiskIQ pour Opérations de sécurité 10.0.0
    Intégration Shodan pour Opérations de sécurité 10.0.0
    Intégration WhoIs des opérations de sécurité 10.0.0
    Intégration Carbon Black pour Opérations de sécurité 10.3.1
    Intégration de la recherche Splunk pour Opérations de sécurité 10.3.0
    Intégration de l’enregistreur ArcSight pour Opérations de sécurité 10.3.0
    Intégration de McAfee ESM pour les opérations de sécurité 10.3.0
    Intégration Elasticsearch pour Opérations de sécurité 10.3.0
    Intégration IBM QRadar pour Opérations de sécurité 10.3.1
    Opérations de sécurité : hôte CrowdStrike Falcon 10.3.0

    Composants inclus

    Le nouveau cadre de travail d’intégration des aptitudes comprend les composants suivants :

    • Options : toutes les options suivantes qui existent aujourd’hui dans le produit en tant que workflows ont été repensées à l’aide de Flux :
      • Demande de bloc : fournit un moyen de bloquer les observables associés à un incident de sécurité sur un pare-feu, un proxy web ou un autre point de contrôle. Cette aptitude est utilisée au cours des enquêtes de réponse à un incident pour contenir une menace identifiée.
      • Recherche et suppression d’e-mails : fournit un moyen de rechercher un serveur de messagerie pendant un examen de sécurité et, si nécessaire, de supprimer les e-mails en provenance du serveur.
      • Enrichir l’élément de configuration : fournit un moyen général d’enrichir les éléments de configuration avec des informations supplémentaires tirées de différentes sources. Cette fonctionnalité est utilisée au cours des enquêtes de réponse à un incident pour enrichir les données associées à un incident de sécurité.
      • Enrichir l’observable : fournit un moyen général d’enrichir les observables avec des informations supplémentaires tirées de diverses sources. Cette aptitude est utilisée au cours des enquêtes de réponse à un incident pour contenir une menace identifiée.
      • Ingestion d’événement : fournit un moyen général de créer un incident de sécurité en mappant les événements d’une source d’intégration à un incident de sécurité.
      • Obtenir les statistiques réseau : récupère une liste des connexions réseau actives à partir d’un point de terminaison ou d’un hôte. Cette aptitude est utilisée pour enrichir les incidents au cours des enquêtes.
      • Obtenir l’exécution des processus : récupère une liste des processus en cours d’exécution à partir d’un point de terminaison ou d’un hôte. Cette aptitude est utilisée pour enrichir les incidents au cours des enquêtes.
      • Isoler l’hôte : fournit un moyen d’isoler un point de terminaison ou un hôte associé à un incident de sécurité. Isoler l’hôte est exécuté sur un élément de configuration (CI).
      • Publier dans la liste de surveillance : fournit un moyen d’ajouter des observables associés à un incident de sécurité à une liste de surveillance qui surveille les événements de sécurité et génère des alertes. Cette aptitude est utilisée dans le cadre de la réponse aux incidents au cours des enquêtes.
      • Recherche de perception : recherche des instances d’observables dans différents SIEM ou d’autres magasins de journaux. Cette fonctionnalité est utilisée pour déterminer la présence d’IoC malveillants dans votre environnement.
      • Recherche de menaces : effectue des recherches de renseignements sur les menaces pour déterminer si un observable défini est associé à une menace de sécurité connue. Cette aptitude est utilisée dans le cadre de la réponse aux incidents au cours des enquêtes.
    • Nouvelles tables :
      • sn_sec_cmn_capability : aptitude et flux qui implémente l’aptitude.
      • sn_sec_cmn_capability_implementation : flux d’implémentation réel qui fournit les services de l’option.
      • sn_sec_cmn_capability_execution : enregistrement d’exécution d’une option lors de son exécution.
      • sn_sec_cmn_capability_implementation_execution : enregistrement d’exécution pour une implémentation d’aptitude au moment de l’exécution.
      • sn_sec_cmn_filter_condition : conditions de filtre qui peuvent être appliquées lors de l’exécution à l’option ou à une implémentation d’aptitude.
    • Include script : CapabilityProcessor : gère tout le code de traitement pour l’infrastructure.
    • Limite du taux : nombre maximal de demandes simultanées par période : définit le nombre d’intégrations pouvant être exécutées en parallèle.
    • Implémentation de l’aptitude du processus de tâche planifiée : s’exécute toutes les 15 secondes et peut être désactivée dans la page Propriétés de l’administration de la sécurité (Incident de sécurité > Administration > Propriétés).
      • Active ou désactive la tâche planifiée, Implémentations des aptitudes de processus : cette tâche planifie et gère automatiquement les flux d’exécution de l’implémentation des aptitudes.
      • Active ou désactive les recherches ou enrichissements automatisés : paramètre qui active ou désactive la tâche planifiée qui effectue la recherche automatisée de menace ou l’enrichissement des observables lorsque des éléments observables sont ajoutés aux incidents de sécurité dans le cadre de travail d’aptitude actuel.
      • Active ou désactive la tâche planifiée, Rechercher les observables d’incident de sécurité : cette tâche planifie automatiquement une tâche de recherche de menace ou d’enrichissement des observables lorsque des éléments observables sont ajoutés à un incident de sécurité.

    Configurations dans le nouveau cadre de travail d’aptitude

    Cette section décrit les configurations disponibles dans le nouveau cadre de travail.

    Avant de commencer

    Rôle requis : sn_si.admin, flow_designer action_designer

    Procédure

    1. Accédez à la Tous > Opérations de sécurité > Intégrations > Options.
      Remarque :
      Version 10.4 : à partir de Réponse aux incidents de sécurité 10.4, le nom de menu Options a été changé en Options d’intégration (flux).
    2. Les options disponibles avec le système de base s’affichent.

      Flux d’aptitude : prêts à l’emploi
      Remarque :

      Il s’agit des capacités fournies avec le système de base. Vous pouvez utiliser les options ou les personnaliser selon vos besoins. Les étapes suivantes décrivent la configuration d’une option et les intégrations implémentées pour celle-ci.

    3. Cliquez sur le lien dans la colonne Nom pour configurer une option.
      Le nom, l’application, la description et le flux que l’option implémente s’affichent.
      Flux d’aptitude : configurer l’aptitude
    4. Cochez la case Actif pour activer l’aptitude.
      • Conditions de filtre au niveau de l’aptitude : lorsqu’une option d’intégration implémente un flux, les conditions de filtre associées au flux sont exécutées avant le lancement du flux d’aptitude. Par exemple, l’option Recherche de menace inclut la condition Filtrer les éléments observables sur liste d’autorisation, comme indiqué ci-dessus. Cliquez sur le lien Nom pour modifier la condition de filtre.
        Remarque :
        Cochez la case Add worknote to task (Ajouter une note de travail à la tâche ) pour ajouter des notes de travail afin d’inclure des informations sur les conditions de filtre utilisées.

        Flux d’aptitude : configurer l’option : modifier la condition de filtre

        Vous pouvez définir des conditions de filtre ou un script, ou une combinaison des deux. Dans l’exemple ci-dessus, un script est utilisé pour définir les conditions de filtre. Lorsque le flux d’aptitude est exécuté, le script recherche les observables sur liste d’autorisation et les supprime de la table.

        Remarque :
        Les conditions de filtre définies ici s’appliquent à toutes les intégrations actives définies dans l’onglet Implémentations des aptitudes .
      • Implémentations d’aptitudes : cliquez sur l’onglet Implémentations d’aptitudes . Les implémentations (intégrations) qui ont été configurées pour la fonctionnalité s’affichent. L’exemple ci-dessous montre les intégrations configurées pour l’aptitude Recherche des menaces :
        Flux d’aptitude : Recherche de menace : Implémentations des aptitudes
    5. Cliquez sur le lien Nom pour afficher l’implémentation de l’aptitude.
      Le nom, l’application, la description et le flux que l’aptitude implémente s’affichent.
    6. Cochez la case Actif pour activer l’aptitude.
      Flux d’aptitude : Recherche de menace : VirusTotal

      Vous pouvez préciser les détails suivants :

      Tableau 1.
      Nom de champ Description
      Actives Cochez cette case pour activer la désactivation de cette intégration.
      Remarque :
      Si vous configurez cette intégration à l’aide de la vignette d’intégration dans le Opérations de sécurité > Intégrations > Configurations des intégrations, ce marqueur est automatiquement défini sur Actif.
      Ordre Indique l’ordre dans lequel les intégrations sont exécutées.
      Aptitude L’aptitude implémentée par cette intégration.
      Flux Flux secondaire qui implémente l’aptitude.
      Configuration La configuration d’intégration pour cette option.
      Remarque :
      La configuration par défaut est initialement définie avec le système de base. Lorsqu’une intégration est configurée à l’aide de la vignette d’intégration sur la page Configurations d’intégration , cette valeur est automatiquement réinitialisée sur la nouvelle configuration créée.
      Limite du taux Indique le nombre d’intégrations qui peuvent être exécutées au moment de l’exécution (en parallèle ou par unité de temps).
      Taille des entrées par lots Taille d’entrée par lots pour chaque exécution. Par exemple, pour une intégration de recherche de perceptions, vous pouvez regrouper les observables en lots de 50 afin que les requêtes générées ne deviennent pas trop volumineuses. 0 indique qu’il n’y a pas de limite.
      Délai d'expiration Durée maximale avant l’annulation du flux d’implémentation de l’aptitude. 0 indique qu’il n’y a pas de délai d’expiration.
      Nombre total de demandes Nombre total de demandes d’exécution de l’implémentation. Ce champ, associé au champ Nombre total de demandes par période, peut être utilisé pour limiter le nombre de demandes au service. Par exemple, vous pouvez limiter le nombre à 4 demandes par minute.
      Nombre total de demandes au cours de la période Nombre total de demandes d’exécution autorisées par période.
      Nombre limite de nouvelles tentatives Nombre de nouvelles tentatives autorisées pour une demande d’exécution ayant échoué. Cette limite s’applique si le marqueur Nouvelle tentative est défini dans votre intégration pour retenter une demande d’exécution lorsqu’une condition est remplie.

      Par exemple, une demande de nouvelle tentative est effectuée lorsque vous avez dépassé la limite de votre licence pour ce service pendant une période donnée ou lorsque le service est en panne.
      Recommencer après Période après laquelle une nouvelle tentative est effectuée une demande d’exécution ayant échoué.
      Nombre maximal de demandes simultanées Nombre maximal de demandes d’exécution d’implémentation simultanées. 0 indique qu’il n’y a aucune limite.
      Configurations de recherche de perceptions Les requêtes de recherche de perception par défaut qui peuvent être exécutées.
      Cliquez sur le lien Nom dans la section Conditions de filtre pour configurer les conditions définies pour l’implémentation. Ajoutez ou supprimez des conditions de filtre, modifiez le script si nécessaire et mettez à jour l’enregistrement.
      Flux d’aptitude : Recherche de menace : VirusTotal : condition de filtre

    Utiliser le nouveau cadre de travail d’aptitude avec une intégration installée

    Cette section décrit comment utiliser le nouveau cadre de travail des aptitudes pour une intégration existante.

    Suivez les étapes ci-dessous pour permettre à une intégration déjà installée et configurée (voir la liste des intégrations prises en charge dans Intégrations et composants pris en charge) d’utiliser le nouveau cadre de travail d’aptitude.

    Remarque :
    Cadre de travail d’aptitude d’intégration 2.0 disponible avec Réponse aux incidents de sécurité 10.0.2 prend en charge les implémentations des options Recherche de menace et Enrichir les observables . Les implémentations d’autres fonctionnalités seront disponibles dans une version ultérieure.
    Avant de commencer
    • Rôle requis : sn_si.admin
    • Réponse aux incidents de sécurité 10.0.2
    1. Accédez à la Opérations de sécurité > Intégrations > Options.
    2. Cliquez sur l’option Recherche de menaces .
    3. Cliquez sur l’onglet Implémentation des options.
      Cadre de travail d’aptitude : nouvelle option
    4. 4. Affichez l’enregistrement d’implémentation de l’aptitude pour l’intégration de l’élément qui vous intéresse (exemple : Crowdstrike Falcon Intelligence). La colonne Actif doit avoir la valeur False.
    5. Cliquez sur le lien Nom pour afficher l’enregistrement de l’implémentation.
      Cadre de travail d’aptitude : enregistrement de l’implémentation d’une nouvelle option
    6. Sélectionnez la case à cocher Activé.
    7. Assurez-vous que l’enregistrement d’implémentation pointe vers l’enregistrement de configuration approprié (le nom de la vignette pour l’intégration dans Configurations d'intégration > Afficher les configurations (oui)).
      Cadre de travail d’aptitude : Vignette de configuration
    8. L’implémentation est activée pour être utilisée avec le nouveau cadre de travail.
    Remarque :
    Toutes les intégrations prises en charge lorsqu’elles sont installées avec Réponse aux incidents de sécurité 10.0.2 seront automatiquement activées dans le nouveau cadre de travail d’aptitude d’intégration.

    Utilisation du nouveau cadre de travail d’aptitude avec un flux

    Suivez les étapes ci-dessous pour créer un flux et appeler le flux secondaire fourni par le nouveau cadre de travail d’aptitude.

    Avant de commencer

    Les étapes ci-dessous décrivent comment créer un échantillon de flux et appeler l’un des flux secondaires fournis avec le nouveau cadre de travail d’aptitude.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur.
    2. Cliquez sur Nouveau pour créer un flux et fournir les informations nécessaires pour les propriétés.
      Cadre de travail d’aptitude : créer un flux
      Remarque :
      Sélectionnez Utilisateur système dans la liste de choix Exécuter en tant que, comme illustré dans l’image ci-dessus.
    3. Sélectionnez une condition de déclenchement pour le flux (un déclencheur courant est la création d’un enregistrement d’incident de sécurité pour une certaine catégorie d’incident).
      Cadre de travail d’aptitude : Créer un flux : déclencheur
    4. À l’étape 1 du flux, sélectionnez une action pour obtenir des entrées de l’incident de sécurité (par exemple, des observables).
      Vous pouvez sélectionner une action parmi les actions fournies avec le système de base avec le spoke commun de support de sécurité.

      Cadre de travail d’aptitude : Créer un flux : action
    5. À l’étape 2, sélectionnez un flux secondaire (par exemple, Recherche de menace).
      Cadre de travail d’aptitude : Créer un flux : flux secondaire
    6. Configurez le flux secondaire que vous avez sélectionné comme indiqué ci-dessous :
      Cadre de travail d’aptitude : Créer un flux : Configurer le flux secondaire
    7. Enregistrez et publiez le flux.

    Dépannage des flux d’aptitude d’intégration

    L’option Exécutions des aptitudes fournit des informations détaillées sur chaque aptitude qui a été exécutée.

    Remarque :
    Les exécutions terminées sont archivées au bout de 30 jours.
    1. Accédez à la Opérations de sécurité > Intégrations > Exécutions des aptitudes..

      Cadre de travail d’aptitude : exécutions d’aptitudes
    2. Cliquez sur le lien Exécutions de l’aptitude pour afficher des détails supplémentaires.

    Notes de travail de l’enregistrement des incidents de sécurité

    Lorsque des observables ont été ajoutés à un incident de sécurité et que la condition de déclenchement du flux est remplie, les flux secondaires Recherche de menace et Enrichir l’observable sont lancés et les notes de travail suivantes sont ajoutées à l’incident de sécurité :
    • L’exécution du flux a commencé : Intégration de Security Operations : enrichir l’observable V1
    • Exécution de flux terminée : intégration de Security Operations : enrichir l’observable V1
    • L’exécution du flux a commencé : Intégration de Security Operations : recherche de menace V1
    • Exécution de flux terminée : intégration de Security Operations : recherche de menace V1

    Pour afficher ces notes de travail, connectez-vous en tant qu’utilisateur avec les rôles sn_si.admin ou sn_si.analyst, flow_designer et action_designer .

    Accédez à la page d’enregistrement de l’incident de sécurité et cliquez sur ces notes de travail pour afficher les détails de l’exécution du flux.
    Cadre de travail d’aptitude : Incident de sécurité : notes de travail