보안 인시던트 응답 릴리스 정보
(SIR) 애플리케이션을 사용하면 ServiceNow® 보안 인시던트 응답 조직이 보안 팀과 IT 팀을 연결하고, 위협에 더 빠르고 효율적으로 대응하고, 조직의 보안 태세에 대한 인사이트를 얻을 수 있습니다. 보안 인시던트 응답 이 릴리스에서 강화 및 업데이트되었습니다오스트레일리아.
보안 인시던트 응답 릴리스의 오스트레일리아 하이라이트
- 플랫폼과 ServiceNow 보안 인시던트 응답 통합 CrowdStrike Next-Gen SIEM 하여 자동 응답 작업을 활성화하고 탐지를 검색하고 보안 인시던트로 변환합니다.
- 에서 종결된 위반을 IBM QRadar보안 인시던트 응답가져옵니다.
- LLM 기반 통합 작성기를 통해 Now Assist 자동 코드 생성을 사용하기 위한 통합을 보안 인시던트 응답 신속하게 빌드합니다.
- MITRE D3FEND 데이터를 수집하고 보안 인시던트 내에서 직접 대화형 그래프를 통해 공격-방어 관계를 시각화합니다.
자세한 내용은 Security Incident Response 문서를 참조하십시오.
중요사항:
보안 인시던트 응답는 ServiceNow Store에서 사용할 수 있습니다. 자세한 내용은 이 릴리스 정보의 "활성화 정보" 섹션을 참조하십시오.
릴리스의 새로운 기능 오스트레일리아
호주 패치 1
- ServiceNow product tiers
- ServiceNow AI Platform 이제 세 가지 라이선싱 계층을 사용할 수 있는 새로운 AI 경험을 제공합니다.
- 기초: 인사이트 제공을 위한 AI 기본 사항
- Advanced: 관련 사용 케이스에서 생산성을 높이는 AI
- 프라임: 모든 AI 자산으로 자율적으로 작동하고 직접 생성
라이센스에 따라 특정 애플리케이션 기능, 생성형 AI 기술, 에이전틱 워크플로우 및 AI 에이전트에 액세스할 수 있습니다.
- CrowdStrike Next-Gen SIEM integration
- 프로파일 관리자는 다음을 수행합니다.
- 보안 인시던트 후보인 탐지를 검색하고 CrowdStrike Next-Gen SIEM 이러한 보안 인시던트 생성을 자동화합니다.
- 탐지 프로파일을 생성합니다.
- 탐지 및 이벤트 필드를 보안 인시던트 필드에 SIR 매핑 CrowdStrike Next-Gen SIEM 합니다.
- 필터 CrowdStrike Next-Gen SIEM 결함.
- 중복 보안 인시던트를 생성할 필요가 없도록 기존 미해결 보안 인시던트로 탐지를 집계합니다.
- 에 대한 보안 인시던트 응답탐지 상태 업데이트를 자동화합니다CrowdStrike Next-Gen SIEM.
- 탐지 코멘트를 작업 메모와 SIR 동기화합니다CrowdStrike Next-Gen SIEM.
- Components installed with Security Incident Response
- 새로운 프로필 관리자 역할(sn_si.ingestion_profile_admin)은 플러그인을 구성할 수 있는 액세스를 제공하며, 애플리케이션에 대한 Splunk ES프로필 및 Microsoft Azure Sentinel 통합을 생성, 편집, 삭제 및 관리할 수 있도록 합니다보안 운영. Splunk Enterprise Event Ingestion
- Add unmatched affected user for security incidents
- 새로운 "보안 인시던트 일치하지 않는 사용자" 테이블은 보안 인시던트에 대해 일치하지 않는 영향을 받는 사용자 기록을 캡처하여 분석가가 사용자 기록이 기존 시스템 기록과 일치하지 않는 경우 불일치를 식별하고 해결할 수 있도록 합니다.
- LLM-powered SIR integration builder
- 의 최신 LLM 기반 통합 ServiceNow AI Platform을 사용하면 제품 준비 통합을 빠르게 만들 수 있습니다. LLM 기반 통합 빌더에는 다음과 같은 기능이 있습니다.
- 공개 API 문서에서 통합 코드를 자동으로 작성합니다.
- 기존 역량을 기반으로 구축된 안내 설정 제공
- 생성된 자동 코드를 쉽게 편집하고 유지관리할 수 있습니다.
- MITRE D3FEND framework
- 이제 보안 관리자가 MITRE D3FEND 데이터를 수집할 수 있습니다. 보안 분석가는 기록 내에서 공격 기술, 방어 기술 및 관련 아티팩트를 매핑하는 대화형 노드 기반 시각화를 통해 MITRE ATT&CK 및 D3FEND 기술을 탐색할 수 있습니다.보안 인시던트 응답
- 수동 보안 태그 유지 및 제거 제한
- 분석가가 적용한 수동 보안 태그는 보안 인시던트에서 자동 태그 지정 규칙이 실행될 때 유지되므로 자동화된 프로세스 중에 부주의한 태그가 제거되는 것을 방지할 수 있습니다. 분석가가 인시던트에 적용한 보안 태그를 더 이상 수동으로 제거할 수 없으므로 인시던트 수명주기 전반에 걸쳐 태그의 일관성을 유지할 수 있습니다.
- 유사한 보안 인시던트에 상위 관계 할당
- 유사한 보안 인시던트 관련 목록에서 유사한 보안 인시던트를 여러 개 선택하고 하위 항목으로 연결 버튼을 사용하여 현재 보안 인시던트에 하위 항목으로 연결합니다.
- View and update Security Incident Response system properties
- 작업 공간 관리 설정 인터페이스에서 바로 작업 공간과 보안 인시던트 응답 관련된 시스템 속성을 보고 업데이트합니다.
- Create quick filters for Security Incidents and Response Tasks lists
- 내에서 보안 인시던트 [sn.si.incident] 및 응답 작업 [sn_si_task] 테이블 SIR Workspace에 대한 빠른 필터를 만들고 관리하여 미리 정의된 기준에 따라 보안 인시던트 목록을 신속하게 필터링할 수 있습니다. 필터는 빠른 필터 [sn_si_aw_quick_filters] 테이블에 저장됩니다.
- Configure auto refresh interval for security incident lists
sn_si_incident.auto_refresh_interval시스템 속성을 사용하여 지정된 간격으로 보안 인시던트 목록 새로 고침을 설정합니다. 기본 새로 고침 빈도는 5분입니다.- 보안 인시던트에 대한 외부 사용자 접근 제어
- SOC 사용자는 SIR 작업 공간의 보안 인시던트에 대한 액세스 필드를 통해 정의된 외부 사용자에게 특정 보안 인시던트에 대한 읽기 전용 액세스 권한을 부여할 수 있습니다.
- Configure default landing tab for security analysts
- 보안 분석가와 보안 관리자가 보안 인시던트를 열 때의 기본 방문 탭을 사용자 지정합니다.
- 응답 작업 및 조사 탭에서 이메일 작성
- 보안 인시던트의 응답 작업 및 조사 탭에서 직접 작성하여 탭을 전환할 필요 없이 이메일을 보냅니다.
- Configure default view for contextual menu
- 보안 분석가가 보안 인시던트를 열 때 보안 인시던트에 대한 상황별 메뉴 패널이 기본적으로 확장되는지 또는 축소되는지 여부를 결정합니다.
이번 릴리스에서 변경된 기능
- PIR에서 그룹 할당 사용자 담당 규칙
- SIR 모듈의 PIR(사후 인시던트 검토) 평가를 위한 사용자 할당 규칙은 이제 개별 사용자 선택 외에도 그룹 기반 할당을 지원합니다. 그룹을 사용하여 담당 규칙을 구성할 수 있습니다. PIR은 담당 규칙 구성을 수동으로 편집할 필요 없이 그룹 구성원 자격 업데이트를 자동으로 반영합니다.
활성화 정보
ServiceNow Store에서 요청하여 보안 인시던트 응답를 설치합니다. 사용 가능한 모든 앱을 보고 스토어에 요청을 제출하는 방법에 대한 자세한 내용을 보려면 다음을 ServiceNow Store 방문하십시오. 출시된 모든 앱의 누적 릴리스 정보는 ServiceNow Store 버전 기록 릴리스 정보를 참조하십시오.
- Security Operations common functionality
- 보안 지원 공통 플러그인은 메인 보안 운영 애플리케이션(보안 인시던트 응답, 취약성 대응, 위협 인텔리전스또는 구성 준수)의 플러그인이 활성화될 때 활성화됩니다.
플러그인 정보
- 사용되지 않는 플러그인
-
다음 플러그인은 에서 더 이상 사용되지 않습니다.오스트레일리아
보안 인시던트 응답 UI(sn_app_secops_ui): 이 플러그인은 (sn_si_aw)로 보안 인시던트 응답 작업 공간 대체됩니다.