Cadre de travail des options d’intégration 2.0

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 13 minutes de lecture

    • Le nouveau Cadre de travail des capacités d’intégration 2.0 a été remanié pour permettre la mise en œuvre des intégrations de manière simple et cohérente. Cela garantit une expérience cohérente pour des types d’intégrations similaires (par exemple : recherche de la réputation de l’observable).

    Le nouveau cadre de travail comporte des fonctionnalités implémentées à l’aide de flux.

    Les avantages de la mise en œuvre améliorée du cadre comprennent :

    • Flux d’aptitude qui incluent uniquement des composants de niveau métier sans logique spécifique à l’implémentation.
    • Les flux d’aptitude acceptent désormais un large éventail d’entrées et de formats pour une flexibilité maximale (par exemple, les références d’observables, les références de CI, les tâches, toute combinaison de tables ou de sys_id).
    • La limitation ou l’étranglement des exécutions d’intégration sont désormais faciles à configurer (sans avoir à utiliser de code personnalisé ou à modifier les workflows d’implémentation).
    • Des fonctionnalités d’audit et de suivi des exécutions améliorées permettent désormais d’améliorer les rapports et de faciliter le dépannage.
    • Des fonctions robustes de gestion des erreurs sont intégrées aux flux d’aptitude pour éviter de dupliquer les routines d’implémentation.
    • Possibilité de configurer le déclenchement conditionnel des options ou des intégrations. Cela offre la flexibilité nécessaire pour lancer automatiquement des automatisations en fonction de la catégorie d’incident.
    • Une condition de filtre par défaut a été introduite sur toutes les options afin de filtrer les observables répertoriés autorisés avant que les entrées ne soient fournies aux intégrations.
    Remarque :
    Ce nouveau cadre d’aptitude ne met pas à niveau le cadre d’aptitude actuel. Les deux cadres peuvent fonctionner en parallèle. Pour obtenir des instructions sur l’exploitation du nouveau cadre de travail d’aptitude, reportez-vous aux sections Utiliser le nouveau cadre de travail d’aptitude avec une intégration installée et Utilisation du nouveau cadre de travail d’aptitude avec un flux.

    Intégrations et composants pris en charge

    Le module d’extension Security Incident Response inclut tous les flux d’aptitude répertoriés dans le Cadre de travail des options d’intégration 2.0, ainsi que des filtres de haut niveau standard que vous pouvez activer ou désactiver en fonction de vos besoins.

    Remarque :
    Si vous souhaitez utiliser le nouveau Cadre de travail d’intégration des aptitudes avec la version New York, vous devez installer le module d’extension ServiceNow Centre d’intégration Starter Pack Installer. Contactez l’assistance clientèle pour obtenir de l’aide sur l’installation.

    Versions d’application prises en charge

    À partir de Security Incident Response 10.0, les intégrations suivantes sont prises en charge :
    Demande Version minimale requise
    Intégration de l’analyse hybride Security Operations 10.0.0
    Intégration de Security Operations PhishTank 10.0.0
    Intégration de ThreatCrowd pour Security Operations 10.0.0
    Intégration de Security Operations CrowdStrike Intelligence 10.0.0
    Opérations de sécurité : « Ai-je été pwned ? » Intégration 10.0.0
    Intégration de Security Operations Metadefender 10.0.0
    Intégration future enregistrée par Security Operations 10.0.0
    Intégration de Security Operations VirusTotal 10.0.0
    Intégration WhoIs inversée de Security Operations 10.0.0
    À partir de Security Incident Response 10.4, les intégrations suivantes sont prises en charge :
    Demande Version minimale requise
    Intégration de RiskIQ pour Opérations de sécurité 10.0.0
    Intégration de Security Operations Shodan 10.0.0
    Intégration Security Operations WhoIs 10.0.0
    Intégration de Security Operations Carbon Black 10.3.1
    Intégration de la recherche Splunk pour Security Operations 10.3.0
    Intégration de l’enregistreur ArcSight pour Opérations de sécurité 10.3.0
    Intégration de Security Operations à McAfee ESM 10.3.0
    Intégration de Security Operations Elasticsearch 10.3.0
    Opérations de sécurité Intégration IBM QRadar 10.3.1
    Opérations de sécurité CrowdStrike Falcon Host 10.3.0

    Composants inclus

    Le nouveau cadre de travail d’intégration de l’aptitude comprend les composants suivants :

    • Options : toutes les fonctionnalités suivantes qui existent aujourd’hui dans le produit en tant que workflows ont été repensées à l’aide de flux :
      • Demande de bloc : fournit un moyen de bloquer les observables associés à un incident de sécurité sur un pare-feu, un proxy web ou un autre point de contrôle. Cette fonctionnalité est utilisée lors des enquêtes de réponse aux incidents pour contenir une menace identifiée.
      • Recherche et suppression d’e-mails : fournit un moyen de rechercher un serveur de messagerie pendant un examen de sécurité et, si nécessaire, de supprimer les e-mails du serveur.
      • Enrichir l’élément de configuration : fournit un moyen général d’enrichir les éléments de configuration avec des informations supplémentaires tirées de diverses sources. Cette fonctionnalité est utilisée lors des enquêtes de réponse aux incidents pour enrichir les données associées à un incident de sécurité.
      • Enrichir les observables : fournit un moyen général d’enrichir les observables avec des informations supplémentaires provenant de diverses sources. Cette fonctionnalité est utilisée lors des enquêtes de réponse aux incidents pour contenir une menace identifiée.
      • Ingestion d’événements : fournit un moyen général de créer un incident de sécurité en mappant les événements d’une source d’intégration à un incident de sécurité.
      • Obtenir les statistiques réseau : Récupère une liste des connexions réseau actives à partir d’un point de terminaison ou d’un hôte. Cette fonctionnalité est utilisée pour l’enrichissement des incidents au cours des enquêtes.
      • Obtenir les processus en cours d’exécution : Récupère une liste des processus en cours d’exécution à partir d’un point de terminaison ou d’un hôte. Cette fonctionnalité est utilisée pour l’enrichissement des incidents au cours des enquêtes.
      • Isoler l’hôte : fournit un moyen d’isoler un point de terminaison ou un hôte associé à un incident de sécurité. L’option Isoler l’hôte est exécutée par rapport à un élément de configuration (CI).
      • Publier dans la liste de surveillance : fournit un moyen d’ajouter des observables associés à un incident de sécurité à une liste de surveillance qui surveille les événements de sécurité et génère des alertes. Cette fonctionnalité est utilisée dans le cadre de la réponse aux incidents au cours des enquêtes.
      • Recherche de perceptions : recherche des instances d’observables dans différents SIEM ou d’autres magasins de journaux. Cette fonctionnalité est utilisée pour déterminer la présence d’IoC malveillants dans votre environnement.
      • Recherche de menaces : effectue des recherches de renseignements sur les menaces pour déterminer si un observable donné est associé à une menace de sécurité connue. Cette fonctionnalité est utilisée dans le cadre de la réponse aux incidents au cours des enquêtes.
    • Nouvelles tables :
      • sn_sec_cmn_capability : aptitude et flux qui implémente l’aptitude.
      • sn_sec_cmn_capability_implementation : flux d’implémentation réel qui fournit les services de l’option.
      • sn_sec_cmn_capability_execution : enregistrement d’exécution d’une option au moment de l’exécution.
      • sn_sec_cmn_capability_implementation_execution : enregistrement d’exécution pour une implémentation d’aptitude au moment de l’exécution.
      • sn_sec_cmn_filter_condition : conditions de filtre qui peuvent être appliquées lors de l’exécution à l’option ou à une implémentation d’aptitude.
    • Inclure le script : CapabilityProcessor : gère tout le code de traitement pour l’infrastructure.
    • Limite du taux : Nombre maximal de demandes simultanées par période : définit le nombre d’intégrations pouvant être exécutées en parallèle.
    • Implémentation de l’aptitude du processus de tâche planifiée : s’exécute toutes les 15 secondes et peut être désactivée dans la page Propriétés de l’administration de la sécurité (Incident de sécurité > Administration > Propriétés.
      • Active ou désactive la tâche planifiée, Implémentations d’aptitudes de processus : cette tâche planifie et gère automatiquement les flux d’exécution de l’implémentation des aptitudes.
      • Active ou désactive les recherches ou les enrichissements automatisés : paramètre qui active ou désactive la tâche planifiée qui effectue une recherche automatisée de menaces ou un enrichissement des observables lorsque des éléments observables sont ajoutés aux incidents de sécurité dans le cadre de travail d’aptitude actuel.
      • Active ou désactive la tâche planifiée, Rechercher les observables d’incident de sécurité : cette tâche planifie automatiquement une tâche de recherche de menace ou d’enrichissement des observables lorsque des éléments observables sont ajoutés à un incident de sécurité.

    Configurations dans le nouveau cadre de travail d’aptitude

    Cette section décrit les configurations disponibles dans le nouveau cadre de travail.

    Avant de commencer

    Rôle requis : sn_si.admin, flow_designer action_designer

    Procédure

    1. Accédez à la Tout > Opérations de sécurité > Intégrations > Options.
      Remarque :
      Version 10.4 : à partir de Security Incident Response 10.4, le nom de menu Options a été changé en Options d’intégration (flux).
    2. Les options disponibles avec le système de base s’affichent.

      Flux d’aptitude : prêts à l’emploi
      Remarque :

      Il s’agit des capacités fournies avec le système de base. Vous pouvez utiliser les options ou les personnaliser selon vos besoins. Les étapes suivantes décrivent la configuration d’une option et les intégrations implémentées pour celle-ci.

    3. Cliquez sur le lien dans la colonne Nom pour configurer une option.
      Le nom, l’application, la description et le flux que l’option implémente s’affichent.
      Flux d’aptitudes : configurer l’aptitude
    4. Cochez la case Actif pour activer l’option.
      • Conditions de filtre au niveau de l’aptitude : lorsqu’une option d’intégration implémente un flux, les conditions de filtre associées au flux sont exécutées avant le lancement du flux d’aptitude. Par exemple, la fonctionnalité de recherche de menace inclut la condition Filtrer les éléments observables sur liste d’autorisation, comme indiqué ci-dessus. Cliquez sur le lien Nom pour modifier la condition de filtre.
        Remarque :
        Cochez la case Ajouter une note de travail à la tâche pour ajouter des notes de travail afin d’inclure des informations sur les conditions de filtre utilisées.

        Flux d’aptitude : configurer l’option : modifier la condition de filtre

        Vous pouvez définir des conditions de filtre ou un script, ou une combinaison des deux. Dans l’exemple ci-dessus, un script est utilisé pour définir les conditions de filtre. Lorsque le flux d’aptitude est exécuté, le script recherche les observables sur la liste d’autorisation et les supprime de la table.

        Remarque :
        Les conditions de filtre définies ici s’appliquent à toutes les intégrations actives définies dans l’onglet Implémentations des aptitudes .
      • Implémentations d’aptitudes : cliquez sur l’onglet Implémentations d’aptitudes . Les implémentations (intégrations) qui ont été configurées pour la fonctionnalité s’affichent. L’exemple ci-dessous montre les intégrations configurées pour l’aptitude Recherche de menace :
        Flux d’aptitude : Recherche de menace : Implémentations d’aptitudes
    5. Cliquez sur le lien Nom pour afficher l’implémentation de l’option.
      Le nom, l’application, la description et le flux que l’option implémente s’affichent.
    6. Cochez la case Actif pour activer l’aptitude.
      Flux d’aptitude : Recherche de menace : VirusTotal

      Vous pouvez spécifier les détails suivants :

      Tableau 1.
      Nom de champ Description
      Actif Cochez cette case pour activer la désactivation de cette intégration.
      Remarque :
      Si vous configurez cette intégration à l’aide de la vignette d’intégration dans le Opérations de sécurité > Intégrations > Configurations des intégrations, ce marqueur est automatiquement défini sur Actif.
      Ordre Indique l’ordre dans lequel les intégrations sont exécutées.
      Aptitude Aptitude implémentée par cette intégration.
      Flux Flux secondaire qui implémente l’aptitude.
      Configuration La configuration d’intégration pour cette option.
      Remarque :
      La configuration par défaut est initialement définie avec le système de base. Lorsqu’une intégration est configurée à l’aide de la vignette d’intégration sur la page Configurations d’intégration , cette valeur est automatiquement réinitialisée sur la nouvelle configuration créée.
      Limite du taux Indique le nombre d’intégrations qui peuvent être exécutées au moment de l’exécution (en parallèle ou par unité de temps).
      Taille des entrées par lots Taille d’entrée du lot pour chaque exécution. Par exemple, pour une intégration de recherche de perceptions, vous pouvez regrouper les observables en lots de 50 afin que les requêtes générées ne deviennent pas trop volumineuses. 0 indique qu’il n’y a pas de limite.
      Délai d'expiration Durée maximale avant l’annulation du flux d’implémentation de l’aptitude. 0 indique qu’il n’y a pas de délai d’expiration.
      Nombre total de demandes Nombre total de demandes d’exécution de l’implémentation. Ce champ, associé au champ Période de demandes totales, peut être utilisé pour limiter le nombre de demandes au service. Par exemple, vous pouvez limiter le nombre à 4 demandes par minute.
      Nombre total de demandes au cours de la période Nombre total de demandes d’exécution autorisées par période.
      Nombre limite de nouvelles tentatives Nombre de nouvelles tentatives autorisées pour une demande d’exécution ayant échoué. Cette limite sera applicable si le marqueur Nouvelle tentative est défini dans votre intégration pour retenter une demande d’exécution lorsqu’une condition est remplie.

      Par exemple, une demande de nouvelle tentative est effectuée lorsque vous avez dépassé la limite de votre licence pour ce service pendant une période donnée ou lorsque le service est en panne.
      Recommencer après Période après laquelle une tentative est effectuée de retenter une demande d’exécution ayant échoué.
      Nombre maximal de demandes simultanées Nombre maximal de demandes d’exécution d’implémentation simultanées. 0 indique qu’il n’y a aucune limite.
      Configurations de recherche de perceptions Les requêtes de recherche de perception par défaut qui peuvent être exécutées.
      Cliquez sur le lien Nom dans la section Conditions de filtre pour configurer les conditions définies pour l’implémentation. Ajoutez ou supprimez des conditions de filtre, modifiez le script si nécessaire et mettez à jour l’enregistrement.
      Flux d’aptitudes : Recherche de menace : VirusTotal : condition de filtre

    Utiliser le nouveau cadre de travail d’aptitude avec une intégration installée

    Cette section décrit comment utiliser le nouveau cadre de travail pour une intégration existante.

    Suivez les étapes ci-dessous pour permettre à une intégration déjà installée et configurée (voir la liste prise en charge des intégrations dans Intégrations et composants pris en charge) d’utiliser le nouveau cadre de travail d’aptitude.

    Remarque :
    Cadre de travail d’aptitude d’intégration 2.0 disponible avec Réponse aux incidents de sécurité 10.0.2 prend en charge les implémentations des options Recherche de menace et Enrichir les observables . Les implémentations d’autres fonctionnalités seront disponibles dans une version ultérieure.
    Avant de commencer
    • Rôle requis : sn_si.admin
    • Réponse aux incidents de sécurité 10.0.2
    1. Accédez à la Opérations de sécurité > Intégrations > Options.
    2. Cliquez sur l’aptitude de recherche de menace .
    3. Cliquez sur l’onglet Implémentation des options.
      Cadre de travail d’aptitude : Nouvelle option
    4. 4. Affichez l’enregistrement d’implémentation de l’aptitude pour l’intégration de l’élément qui vous intéresse (exemple : Crowdstrike Falcon Intelligence). La colonne Actif doit avoir la valeur Faux.
    5. Cliquez sur le lien Nom pour afficher l’enregistrement de l’implémentation.
      Cadre de travail d’aptitude : Enregistrement de l’implémentation d’une nouvelle option
    6. Sélectionnez la case à cocher Activé.
    7. Assurez-vous que l’enregistrement d’implémentation pointe vers le bon enregistrement de configuration (le nom de la vignette pour l’intégration dans Configurations d'intégration > Afficher les configurations (oui)).
      Cadre de travail d’aptitude : Mosaïque de configuration
    8. L’implémentation est activée pour être utilisée avec le nouveau cadre de travail.
    Remarque :
    Toutes les intégrations prises en charge lorsqu’elles sont installées avec Réponse aux incidents de sécurité 10.0.2 seront automatiquement activées dans le nouveau cadre de travail d’aptitude d’intégration.

    Utilisation du nouveau cadre de travail d’aptitude avec un flux

    Suivez les étapes ci-dessous pour créer un flux et appeler le flux secondaire fourni par le nouveau cadre de travail d’aptitude.

    Avant de commencer

    Les étapes ci-dessous décrivent comment créer un exemple de flux et appeler l’un des flux secondaires fournis avec le nouveau cadre de travail d’aptitude.

    Procédure

    1. Accédez à la Tout > Concepteur de flux > Concepteur.
    2. Cliquez sur Nouveau pour créer un flux et fournir les informations nécessaires pour les propriétés.
      Cadre de travail d’aptitude : Créer un flux
      Remarque :
      Sélectionnez Utilisateur système dans la liste de choix Exécuter en tant que, comme illustré dans l’image ci-dessus.
    3. Sélectionnez une condition de déclenchement pour le flux (un déclencheur courant est la création d’un enregistrement d’incident de sécurité pour une certaine catégorie d’incidents).
      Cadre de travail d’aptitude : Créer un flux : déclencher
    4. À l’étape 1 du flux, sélectionnez une action pour obtenir des entrées de l’incident de sécurité (par exemple, des observables).
      Vous pouvez sélectionner une action parmi les actions fournies avec le système de base avec le spoke commun de prise en charge de la sécurité.

      Cadre de travail d’aptitude : Créer un flux : action
    5. À l’étape 2, sélectionnez un flux secondaire (par exemple, Recherche de menace).
      Cadre de travail d’aptitude : Créer un flux : flux secondaire
    6. Configurez le flux secondaire que vous avez sélectionné comme indiqué ci-dessous :
      Cadre de travail d’aptitude : Créer un flux : configurer le flux secondaire
    7. Enregistrez et publiez le flux.

    Dépannage des flux d’aptitude d’intégration

    L’option Exécutions des aptitudes fournit des informations détaillées sur chaque aptitude exécutée.

    Remarque :
    Les exécutions terminées sont archivées au bout de 30 jours.
    1. Accédez à la Opérations de sécurité > Intégrations > Exécutions des aptitudes..

      Cadre de travail d’aptitude : exécutions des aptitudes
    2. Cliquez sur le lien Exécutions des aptitudes pour afficher des détails supplémentaires.

    Notes de travail de l’enregistrement de l’incident de sécurité

    Lorsque des observables ont été ajoutés à un incident de sécurité et que la condition de déclenchement du flux est remplie, les flux secondaires Recherche de menace et Enrichissement des observables sont lancés et les notes de travail suivantes sont ajoutées à l’incident de sécurité :
    • L’exécution du flux a commencé : Security Operations Integration - Enrichir l’observable V1
    • Exécution de flux terminée : Security Operations Integration - Enrichir l’observable V1
    • L’exécution du flux a commencé : Security Operations Integration : recherche de menace V1
    • Exécution de flux terminée : Security Operations Integration : recherche de menace V1

    Pour afficher ces notes de travail, connectez-vous en tant qu’utilisateur avec les rôles sn_si.admin ou sn_si.analyst, flow_designer et action_designer .

    Accédez à la page d’enregistrement de l’incident de sécurité et cliquez sur ces notes de travail pour afficher les détails de l’exécution du flux.
    Cadre de travail d’aptitude : Incident de sécurité : notes de travail