Types d’intégrations ServiceNow fournies

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Les Opérations de sécurité applications (Réponse aux incidents de sécurité, Renseignements sur les menaceset Réponse aux vulnérabilités) peuvent être intégrées de manière transparente à d’autres applications afin d’améliorer ServiceNow leurs fonctionnalités.

    Les intégrations suivantes sont fournies dans le système de Opérations de sécurité base.

    Security Incident Response – Intégration Event Management

    Les fonctionnalités de l’application Gestion des événements ont été étendues pour prendre en charge Réponse aux incidents de sécurité. Le Réponse aux incidents de sécurité Gestion des événements module d’extension Support analyse automatiquement le contenu des événements pour Gestion des événements renseigner les champs des incidents de sécurité.

    Cas d’utilisation couvert :

    Création d’événements de sécurité dans le système à partir d’informations de sécurité et Gestion des événements d’outils Gestion des événements (SIEM)

    Options utiles fournies :
    • Fonctionnalité de gestion des événements : corrélation d’événements, règles d’événements et règles d’alerte
    • Mappage automatique des valeurs de additional_information à l’incident de sécurité résultant

    Ressources:

    Documentation d’appui sur la gestion des événements d’incident de sécurité

    Documentation d’Event Management

    Security Incident Response - Intégration de l’API de jeu d’importation

    En plus de l’utiliser Gestion des événements pour transmettre par push des événements liés à la sécurité, l’application Réponse aux incidents de sécurité fournit une API de jeu d’importation qui permet la création directe d’incidents de sécurité. Le point de terminaison REST pour le jeu d’importation de l’incident de sécurité est http://localhost:8080/api/now/import/sn_si_incident_import.

    Cette technique d’intégration est utile lorsque a) Gestion des événements n’est pas installé, ou b) il est souhaité de créer simplement des incidents de sécurité sans passer par l’événement > le flux d’alerte > d’incident de sécurité requis lors de l’utilisation de Gestion des événements.

    Cas d’utilisation couvert :

    Création d’incidents de sécurité directement à partir des outils SIEM.

    Options utiles fournies :

    Correspondance automatique de CI lors de la création d’un incident de sécurité en fonction du nom IP, NetBIOS ou de domaine complet.

    Ressources:

    Documentation de l’API des jeux d’importation de plateforme

    Documentation sur les jeux d’importation de service web d’incidents de sécurité

    Renseignements sur les menaces : rechercher l’intégration de la source

    Les sources de recherche offrent la possibilité d’envoyer des données à des sources de recherche externes afin de déterminer si ces données sont malveillantes. Généralement, ces données sont une adresse IP, une URL, un fichier ou un hachage de fichier.

    Cas d’utilisation couvert :

    Recherchez une adresse IP, une URL, un fichier ou un hachage auprès d’un service de recherche externe.

    Options utiles fournies :

    • Moyen cohérent de demander des recherches à partir d’éléments de catalogue et d’incidents de sécurité.
    • Capacités de limitation et d’étranglement du débit fournies avec peu ou pas de codage.
    • Création automatique d’entrées observables d’indicateurs de compromis (IoC) pour tous les problèmes trouvés par les sources de recherche.

    Threat Intelligence : intégration de la source de menace

    Les sources de menace offrent la possibilité d’extraire des données de référentiels externes de renseignements sur les menaces. Ces données sont ensuite importées dans les différentes tables d’indicateurs de compromission qui existent dans le système. Les collections TAXII et les listes de blocage simples sont prises en charge nativement. Pour ajouter de nouvelles collections TAXII (ou profils basés sur un service de découverte ou de gestion de collection), il suffit d’ajouter une entrée. De même, l’ajout d’une nouvelle liste de blocage simple à colonne unique consiste à saisir un nouvel enregistrement et à fournir l’URL de la liste de blocage. Pour les ensembles de données plus complexes, une intégration personnalisée peut être fournie pour passer un appel à une URL et analyser la réponse.

    Cas d’utilisation couvert :

    Récupérez les données d’une source Threat Intelligence pour les charger dans des tables IoC.

    Options utiles fournies :

    • Prise en charge de listes de blocage simples et de collectes TAXII sans codage.
    • Mécanisme simple d’exécution des messages REST pour récupérer des données.
    • Récupération/traitement des données découplées pour la réutilisation des composants d’intégration.
    • Prise en charge native du traitement des données transmises renvoyées aux sources de données (et aux jeux d’importation/cartes de transformation).
    • Prend en charge plusieurs demandes de données par intégration (pour les appels paginés) avec la possibilité de transmettre le contexte aux appels suivants

    Ressources:

    Définir une source de menace

    Réponse aux vulnérabilités : intégration d’invocation de scanner

    L’invocation du scanner de vulnérabilité est un point d’entrée d’intégration léger qui prend en charge l’invocation d’analyses de vulnérabilité à partir de l’instance. Un scanner de vulnérabilité tiers est appelé de façon asynchrone pour planifier une analyse des éléments de configuration ou des adresses IP.

    Cas d’utilisation couvert :

    Demander à un scanner tiers d’analyser un CI (à l’aide des informations d’hôte dérivées du CI) ou une adresse IP/adresses IP.

    Options utiles fournies :

    • Cadre de travail simple pour définir les implémentations de scanner.
    • Moyen cohérent de demander des analyses à partir d’éléments de catalogue, d’incidents de sécurité et d’éléments vulnérables.
    • Mise à jour automatique des tâches avec le résultat de l’invocation d’analyse.

    Vulnerability Response : intégration de données

    Les intégrations de données de vulnérabilité sont destinées à récupérer les données de vulnérabilité des systèmes de vulnérabilité tiers. Les résultats attendus de ces intégrations sont les entrées de vulnérabilité et les éléments vulnérables. Cette intégration permet aux scanners de vulnérabilité tiers de fonctionner indépendamment, dans l’espoir que les vulnérabilités puissent être traitées et suivies au sein de l’instance.

    Cas d’utilisation couverts :

    • Récupérer les bibliothèques de vulnérabilité
    • Récupérer les paires vulnérabilité/CI
    • Synchroniser les CI avec le système de gestion des vulnérabilités
    Options utiles fournies :
    • Récupération/traitement des données découplées pour la réutilisation des composants d’intégration.
    • Prise en charge native du traitement des données transmises renvoyées aux sources de données (et aux jeux d’importation/cartes de transformation).
    • Prend en charge plusieurs demandes de données par intégration (pour les appels paginés) avec la possibilité de transmettre le contexte aux appels suivants.

    Ressources:

    Documentation sur l’intégration des données de vulnérabilité