통합 역량 프레임워크 2.0

릴리스 버전: Australia

업데이트 날짜 2026년 03월 12일

소요 시간: 11분

새로운 통합 역량 프레임워크 2.0이 재설계되어 간단하고 일관된 방식으로 통합을 구현할 수 있습니다. 이렇게 하면 유사한 유형의 통합(예: 옵저버블 평판 조회)에 대해 일관된 경험이 보장됩니다.

새 프레임워크에는 플로우를 사용하여 구현된 기능이 있습니다.

향상된 프레임워크 구현의 이점은 다음과 같습니다.

구현 관련 논리 없이 비즈니스 수준 구성요소만 포함하는 역량 플로우입니다.
이제 역량 플로우는 최대한의 유연성을 위해 광범위한 입력 및 형식을 허용합니다(예: 옵저버블 참조, CI 참조, 작업, 테이블 또는 sys_id 조합).
통합 실행에 대한 속도 제한 또는 제한을 이제 쉽게 구성할 수 있습니다(사용자 지정 코드나 구현 워크플로우 변경을 사용하여 이 작업을 수행할 필요가 제거됨).
향상된 감사 및 실행 추적 기능을 통해 이제 더 나은 보고와 더 쉬운 문제 해결이 가능합니다.
구현 루틴의 중복을 방지하기 위해 강력한 오류 처리 기능이 기능 플로우에 내장되어 있습니다.
기능 또는 통합의 조건부 트리거를 구성하는 기능. 이를 통해 인시던트 범주를 기반으로 자동화를 자동으로 시작할 수 있는 유연성이 제공됩니다.
통합에 입력이 제공되기 전에 허용 목록 옵저버블을 필터링하는 기본 필터 조건이 모든 기능에 도입되었습니다.

주:

이 새로운 역량 프레임워크는 현재 역량 프레임워크를 업그레이드하지 않습니다. 두 프레임워크 모두 병렬로 작동할 수 있습니다. 새 역량 프레임워크를 활용하는 방법에 대한 지침은 해당 문서를 참조하십시오 설치된 통합과 함께 새 기능 프레임워크 사용 플로우에 새 역량 프레임워크 사용.

지원되는 통합 및 구성요소

보안 인시던트 응답 플러그인에는 통합 기능 프레임워크 2.0에 나열된 모든 기능 플로우와 요구 사항에 따라 사용하거나 사용하지 않도록 설정할 수 있는 표준 상위 수준 필터가 포함되어 있습니다.

주:

New York 릴리스에서 새로운 역량 통합 프레임워크를 사용하려면 ServiceNow 통합 허브 스타터 팩 설치 관리자 플러그인을 설치해야 합니다. 설치에 대한 도움을 받으려면 고객 지원에 문의하십시오.

지원되는 애플리케이션 버전

보안 인시던트 응답 10.0부터 다음과 같은 통합이 지원됩니다.


애플리케이션	필요한 최소 버전
보안 운영 하이브리드 분석 통합	10.0.0
보안 운영 PhishTank 통합	10.0.0
보안 운영 ThreatCrowd 통합	10.0.0
보안 운영 CrowdStrike 인텔리전스 통합	10.0.0
보안 운영 'Have I been pwned?' 통합	10.0.0
보안 운영 Metadefender 통합	10.0.0
보안 운영 기록됨 향후 통합	10.0.0
Security Operations VirusTotal 통합	10.0.0
Security Operations WhoIs 통합 역방향	10.0.0

보안 인시던트 응답 10.4부터 지원되는 통합은 다음과 같습니다.


애플리케이션	필요한 최소 버전
Security Operations RiskIQ 통합	10.0.0
보안 운영 Shodan 통합	10.0.0
보안 운영 WhoIs 통합	10.0.0
보안 운영 Carbon Black 통합	10.3.1
보안 운영 Splunk 검색 통합	10.3.0
보안 운영 ArcSight 로거 통합	10.3.0
보안 운영 McAfee ESM 통합	10.3.0
보안 운영 Elasticsearch 통합	10.3.0
보안 운영 IBM QRadar 통합	10.3.1
보안 운영 CrowdStrike Falcon Host	10.3.0

포함된 구성요소

새로운 역량 통합 프레임워크에는 다음 구성요소가 포함됩니다.

기능: 현재 제품에 워크플로우로 존재하는 다음과 같은 모든 기능은 흐름을 사용하여 재설계되었습니다.
- 요청 차단: 방화벽, 웹 프록시 또는 기타 제어 지점의 보안 인시던트와 연관된 옵저버블을 차단하는 방법을 제공합니다. 이 역량은 식별된 위협이 포함되도록 인시던트 대응 조사 중에 사용됩니다.
- 이메일 검색 및 삭제: 보안 조사 진행 중에 이메일 서버를 검색하고 필요한 경우 서버에서 이메일을 삭제하는 방법을 제공합니다.
- 구성 항목 보강: 다양한 소스의 추가 정보로 구성 항목을 보강할 수 있는 일반적인 방법을 제공합니다. 이 기능은 인시던트 응답 조사 중에 보안 인시던트와 관련된 데이터를 보강하는 데 사용됩니다.
- 옵저버블 보강: 다양한 소스의 추가 정보로 옵저버블을 보강할 수 있는 일반적인 방법을 제공합니다. 이 역량은 식별된 위협이 포함되도록 인시던트 대응 조사 중에 사용됩니다.
- 이벤트 수집: 통합 소스의 이벤트를 보안 인시던트로 매핑하여 보안 인시던트를 생성하는 일반적인 방법을 제공합니다.
- 네트워크 통계 가져오기: 엔드포인트 또는 호스트에서 활성 네트워크 연결 목록을 검색합니다. 이 역량은 조사 중 인시던트 보강에 사용됩니다.
- 실행 중인 프로세스 가져오기: 엔드포인트 또는 호스트에서 실행 중인 프로세스 목록을 검색합니다. 이 역량은 조사 중 인시던트 보강에 사용됩니다.
- 호스트 격리: 보안 인시던트와 연관된 엔드포인트 또는 호스트를 격리하는 방법을 제공합니다. 호스트 격리는 CI(구성 항목)에 대해 실행됩니다.
- 감시 목록에 게시: 보안 이벤트를 모니터링하고 경보를 생성하는 감시 목록에 보안 인시던트와 관련된 옵저버블을 추가하는 방법을 제공합니다. 이 역량은 조사 중에 인시던트 대응의 일부로 사용됩니다.
- 사이팅 검색: 다양한 SIEM 또는 옵저버블의 인스턴스를 저장하는 다른 로그 저장소를 검색합니다. 이 기능은 사용자 환경에 악의적인 IoC가 있는지 확인하는 데 사용됩니다.
- 위협 조회: 특정 옵저버블이 알려진 보안 위협과 연관이 있는지 여부를 확인하기 위해 위협 인텔리전스 조회를 수행합니다. 이 역량은 조사 중에 인시던트 대응의 일부로 사용됩니다.
새 테이블:
- sn_sec_cmn_capability: 역량을 구현하는 역량 및 플로우입니다.
- sn_sec_cmn_capability_implementation: 역량의 서비스를 제공하는 실제 구현 플로우입니다.
- sn_sec_cmn_capability_execution: 런타임 시 역량의 실행 기록입니다.
- sn_sec_cmn_capability_implementation_execution: 런타임 시 역량 구현에 대한 실행 기록입니다.
- sn_sec_cmn_filter_condition: 런타임에 기능 또는 기능 구현에 적용할 수 있는 필터 조건입니다.
스크립트 포함: CapabilityProcessor: 프레임워크에 대한 모든 처리 코드를 처리합니다.
속도 제한: 기간당 역량 최대 동시 요청: 병렬로 실행할 수 있는 통합 수를 정의합니다.
예약된 작업 프로세스 기능 구현: 15초마다 실행되며 보안 관리 속성 페이지에서 비활성화할 수 있습니다(보안 인시던트 > 관리 > 속성).
- 예약된 작업, 프로세스 기능 구현을 사용하거나 사용하지 않도록 설정합니다. 이 작업은 기능 구현 실행 플로우를 자동으로 예약하고 관리합니다.
- 자동 조회 또는 보강 활성화 또는 비활성화: 현재 역량 프레임워크에서 옵저버블이 보안 인시던트에 추가될 때 옵저버블의 자동화된 위협 조회 또는 보강을 수행하는 예약된 작업을 활성화하거나 비활성화하는 설정입니다.
- 예약된 작업인 보안 인시던트 옵저버블 조회를 활성화하거나 비활성화합니다. 이 작업은 옵저버블이 보안 인시던트에 추가될 때 위협 조회 또는 옵저버블 보강 작업을 자동으로 예약합니다.

새 역량 프레임워크의 구성

이 섹션에서는 새 프레임워크에서 사용할 수 있는 구성에 대해 설명합니다.

시작하기 전에

필요한 역할: sn_si.admin, flow_designer, action_designer

프로시저

다음으로 이동 모두 > 보안 운영 > 통합 > 역량.

주:
버전 10.4: 보안 인시던트 응답 10.4부터 메뉴 이름 역량이 통합 역량(플로우)으로 변경되었습니다.
기본 시스템에서 사용할 수 있는 기능이 표시됩니다.

주:
기본 시스템과 함께 제공되는 기능입니다. 기능을 사용하거나 필요에 따라 사용자 지정할 수 있습니다. 다음 단계에서는 기능을 구성하는 방법과 해당 기능에 대해 구현된 통합을 설명합니다.
이름 열의 링크를 클릭하여 역량을 구성합니다.
역량이 구현하는 이름, 애플리케이션, 설명 및 플로우가 표시됩니다.
기능을 활성화하려면 활성 확인란을 선택합니다.
- 역량 수준의 필터 조건: 통합 역량이 플로우를 구현하면 역량 플로우가 시작되기 전에 플로우와 연결된 필터 조건이 실행됩니다. 예를 들어 위협 조회 역량에는 위와 같이 허용 목록 지정된 옵저버블 필터 조건이 포함됩니다. 이름 링크를 클릭하여 필터 조건을 편집합니다.
  주:
  작업에 작업 메모 추가 확인란을 선택하여 사용된 필터 조건에 대한 정보를 포함하는 작업 메모를 추가합니다.
  
  필터 조건이나 스크립트 또는 둘 다의 조합을 정의할 수 있습니다. 위 예시에서는 스크립트를 사용하여 필터 조건을 정의합니다. 역량 플로우가 실행되면 스크립트는 허용 목록 지정된 옵저버블을 검색하여 테이블에서 제거합니다.
  
  주:
  여기에 설정된 필터 조건은 역량 구현 탭에 정의된 모든 활성 통합에 적용할 수 있습니다.
- 역량 구현: 역량 구현 탭을 클릭합니다. 역량에 대해 구성된 구현(통합)이 표시됩니다. 아래 예는 위협 조회 역량에 대해 구성된 통합을 보여줍니다
이름 링크를 클릭하여 역량 구현을 봅니다.
역량이 구현하는 이름, 애플리케이션, 설명 및 플로우가 표시됩니다.

활성 확인란을 클릭하여 기능을 활성화합니다.
역량 플로우: 위협 조회: VirusTotal

다음 상세 정보를 지정할 수 있습니다.

표 1.
필드 이름	설명
활성	이 통합을 사용하지 않도록 설정하려면 이 확인란을 선택합니다. 주: 의 통합 타일을 사용하여 이 통합을 구성하는 경우 보안 운영 > 통합 > 통합 구성페이지에서 이 플래그는 활 성으로 자동 설정됩니다.
순서	통합이 실행되는 순서를 나타냅니다.
역량	이 통합을 통해 구현되는 역량입니다.
플로우	역량을 구현하는 하위 플로우입니다.
구성	이 역량에 대한 통합 구성입니다. 주: 처음에는 기본 시스템과 함께 제공되는 기본 구성으로 설정됩니다. 통합 구성 페이지의 통합 타일을 사용하여 통합을 구성하는 경우 이 값은 생성된 새 구성으로 자동 재설정됩니다.
속도 제한	런타임에 실행할 수 있는 통합 수(병렬 또는 단위 시간 당)를 나타냅니다.
배치 입력 크기	각 실행에 대한 배치 입력 크기입니다. 예를 들어 사이팅 검색 통합의 경우 생성된 쿼리가 너무 커지지 않도록 옵저버블을 50개의 배치로 그룹화할 수 있습니다. 0은 제한이 없음을 나타냅니다.
시간 초과 기간	역량 구현 플로우가 취소되기 전의 최대 기간입니다. 0은 시간 초과 기간이 없음을 나타냅니다.
요청한 총 수	구현 실행 요청의 총 수입니다. 이 필드는 총 요청 기간 필드와 함께 사용하여 서비스에 대한 요청 수를 제한할 수 있습니다. 예를 들어 분당 요청 수를 4개로 제한할 수 있습니다.
총 요청 기간	기간당 허용되는 총 실행 요청 수입니다.
재시도 제한	실패한 실행 요청에 허용되는 재시도 횟수입니다. 이 제한은 조건이 충족될 때 실행 요청을 재시도하도록 통합에 재시도 플래그가 설정된 경우에 적용됩니다. 예를 들어, 일정 기간 동안 해당 서비스에 대한 라이센스 한도를 초과했거나 서비스가 다운되면 재시도 요청이 이루어집니다.
다음 이후에 다시 시도	실패한 실행 요청을 다시 시도하는 기간입니다.
최대 동시 요청	동시 구현 실행 요청의 최대 수입니다. 0은 제한이 없음을 나타냅니다.
사이팅 검색 구성	실행할 수 있는 기본 사이팅 검색 쿼리입니다.

필터 조건 섹션에서 이름 링크를 클릭하여 구현에 대해 정의된 조건을 구성합니다. 필터 조건을 추가 또는 삭제하고, 필요한 경우 스크립트를 수정하고, 기록을 업데이트합니다.
역량 플로우: 위협 조회: VirusTotal: 필터 조건

설치된 통합과 함께 새 기능 프레임워크 사용

이 섹션에서는 기존 통합에 새 기능 프레임워크를 사용하는 방법을 설명합니다.

새 역량 프레임워크를 사용하려면 아래 단계를 사용하여 이미 설치 및 구성된 통합(에서 지원되는 통합 및 구성요소지원되는 통합 목록 참조)을 활성화합니다.

주:

보안 인시던트 응답 10.0.2에서 사용할 수 있는 통합 역량 프레임워크 2.0은 위협 조회 및 옵저버블 보강 역량에 대한 구현을 지원합니다. 다른 역량에 대한 구현은 이후 릴리스에서 제공될 예정입니다.

시작하기 전에

필요한 역할: sn_si.admin
보안 인시던트 응답 10.0.2

다음으로 이동 보안 운영 > 통합 > 역량.
위협 조회 역량을 클릭합니다.
역량 구현 탭을 클릭합니다.
4. 관심 있는 통합에 대한 역량 구현 기록을 봅니다(예: Crowdstrike Falcon Intelligence). 활성 열의 값은 False여야 합니다.
이름 링크를 클릭하여 구현 기록을 봅니다.
활성 확인란을 선택합니다.
구현 기록이 올바른 구성 기록(의 통합에 대한 타일 이름)을 가리키고 있는지 확인합니다. 통합 구성 > 구성 표시(예)).
새 프레임워크에서 사용할 수 있도록 구현이 활성화됩니다.

주:

보안 인시던트 응답 10.0.2와 함께 설치되면 지원되는 모든 통합이 새 통합 기능 프레임워크에서 자동으로 활성화됩니다.

플로우에 새 역량 프레임워크 사용

아래 단계를 사용하여 플로우를 생성하고 새 역량 프레임워크에서 제공하는 하위 플로우를 호출합니다.

시작하기 전에

필요한 역할: sn_si.admin, flow_designer, action_designer
지원되는 통합 중 하나를 설치합니다( 지원되는 통합 및 구성요소참조 )

아래 단계에서는 샘플 플로우를 생성하고 새 역량 프레임워크와 함께 제공되는 하위 플로우 중 하나를 호출하는 방법을 설명합니다.

프로시저

다음으로 이동 모두 > 플로우 디자이너 > 디자이너.
신규를 클릭하여 새 플로우를 만들고 속성에 필요한 정보를 제공합니다.

주:
위의 이미지와 같이 실행 선택 목록에서 시스템 사용자를 선택합니다.
플로우에 대한 트리거 조건을 선택합니다(일반적인 트리거는 특정 인시던트 범주에 대한 보안 인시던트 기록 생성입니다).
플로우의 1단계에서 보안 인시던트(예: 옵저버블)에서 입력을 가져오는 작업을 선택합니다.
보안 지원 공통 스포크를 사용하여 기본 시스템에 제공되는 작업에서 작업을 선택할 수 있습니다.
2단계에서 하위 플로우(예: 위협 조회)를 선택합니다.
아래와 같이 선택한 하위 플로우를 구성합니다.
플로우를 저장하고 게시합니다.

통합 역량 플로우 문제 해결

역량 실행 옵션은 실행된 각 역량에 대한 자세한 정보를 제공합니다.

주:

완료된 실행은 30일 후에 보관됩니다.

다음으로 이동 보안 운영 > 통합 > 역량 실행.
추가 상세 정보를 보려면 역량 실행 링크를 클릭하십시오.

보안 인시던트 기록 작업 메모

옵저버블이 보안 인시던트에 추가되고 플로우에 대한 트리거 조건이 충족되면 위협 조회 및 옵저버블 보강 하위 플로우가 시작되고 다음 작업 메모가 보안 인시던트에 추가됩니다.

플로우 실행 시작: 보안 운영 통합 - 옵저버블 보강 V1
플로우 실행이 완료됨: 보안 운영 통합 - 옵저버블 보강 V1
플로우 실행 시작: 보안 운영 통합 – 위협 조회 V1
플로우 실행이 완료됨: 보안 운영 통합 – 위협 조회 V1

이러한 작업 메모를 보려면 sn_si.admin 또는 sn_si.analyst, flow_designer 및 action_designer 역할을 가진 사용자로 로그인합니다.

보안 인시던트 기록 페이지로 이동하여 해당 작업 메모를 클릭하여 플로우 실행 상세 정보를 봅니다.
역량 프레임워크: 보안 인시던트: 작업 메모