Cadre de travail des options d’intégration 2.0

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 13 minutes de lecture

    • Le nouveau cadre de travail des options d’intégration 2.0 a été repensé pour permettre la mise en œuvre des intégrations de manière simple et cohérente. Cela garantit une expérience cohérente pour des types d’intégrations similaires (par exemple : recherche de réputation d’observables).

    Le nouveau cadre de travail comporte des options implémentées à l’aide de flux.

    Les avantages de la mise en œuvre du cadre amélioré sont les suivants :

    • Les flux d’options qui incluent uniquement des composants de niveau métier sans logique spécifique d’implémentation.
    • Les flux d’aptitudes acceptent désormais un large éventail d’entrées et de formats pour une flexibilité maximale (par exemple, des références d’observables, des références de CI, des tâches, n’importe quelle table ou combinaisons de sys_id).
    • La limitation ou l’étranglement des taux sur les exécutions d’intégration sont désormais faciles à configurer (ce qui élimine la nécessité d’utiliser du code personnalisé ou de modifier les workflows d’implémentation).
    • Des fonctionnalités améliorées d’audit et de suivi des exécutions permettent désormais de générer de meilleurs rapports et de faciliter le dépannage.
    • Des fonctions robustes de gestion des erreurs sont intégrées aux flux d’aptitudes pour éviter de dupliquer les routines d’implémentation.
    • Possibilité de configurer le déclenchement conditionnel des options ou des intégrations. Cela permet de lancer automatiquement des automatisations en fonction de la catégorie d’incident.
    • Une condition de filtre par défaut a été introduite sur toutes les options pour filtrer les observables répertoriés autorisés avant que des entrées ne soient fournies aux intégrations.
    Remarque :
    Ce nouveau cadre de travail des options n’a pas pour effet de mettre à niveau le cadre de travail des aptitudes actuel. Les deux cadres peuvent fonctionner en parallèle. Pour obtenir des instructions sur la manière d’exploiter le nouveau cadre de travail d’option, reportez-vous aux sections Utilisation du nouveau cadre de travail des options avec une intégration installée et Utilisation du nouveau cadre de travail des aptitudes avec un flux.

    Intégrations et composants pris en charge

    Le module d’extension Security Incident Response inclut tous les flux d’aptitudes répertoriés dans Integration Capabilities Framework 2.0, ainsi que des filtres standard de haut niveau que vous pouvez activer ou désactiver en fonction de vos besoins.

    Remarque :
    Si vous souhaitez utiliser le nouveau Cadre de travail d’intégration d’aptitude avec la version New York, vous devez installer le module d’extension ServiceNow Centre d’intégration Starter Pack Installer. Contactez le service client pour obtenir de l’aide concernant l’installation.

    Versions d’application prises en charge

    À partir de Security Incident Response 10.0, les intégrations suivantes sont prises en charge :
    Application Version minimale requise
    Intégration de Security Operations Hybrid Analysis 10.0.0
    Intégration PhishTank de Security Operations 10.0.0
    Intégration de Security Operations ThreatCrowd 10.0.0
    Intégration de Security Operations CrowdStrike Intelligence 10.0.0
    Opérations de sécurité : « Ai-je été victime d’une erreur ? » Intégration 10.0.0
    Intégration Metadefender pour Security Operations 10.0.0
    Intégration future enregistrée de Security Operations 10.0.0
    Intégration de Security Operations VirusTotal 10.0.0
    Inverser l’intégration Whois de Security Operations 10.0.0
    À partir de Security Incident Response 10.4, les intégrations suivantes sont prises en charge :
    Application Version minimale requise
    Intégration de Security Operations RiskIQ 10.0.0
    Intégration Shodan de Security Operations 10.0.0
    Intégration du whois de Security Operations 10.0.0
    Intégration de Security Operations Carbon Black 10.3.1
    Intégration de la recherche Splunk pour Security Operations 10.3.0
    Intégration d’ArcSight Logger pour Security Operations 10.3.0
    Intégration McAfee ESM pour Security Operations 10.3.0
    Intégration Elasticsearch pour Security Operations 10.3.0
    Intégration IBM QRadar pour Security Operations 10.3.1
    Hôte CrowdStrike Falcon pour Security Operations 10.3.0

    Composants inclus

    Le nouveau cadre de travail d’intégration des options comprend les composants suivants :

    • Options : toutes les options suivantes qui existent dans le produit aujourd’hui en tant que workflows ont été repensées à l’aide de flux :
      • Demande de bloc : fournit un moyen de bloquer les observables associés à un incident de sécurité sur un pare-feu, un proxy web ou un autre point de contrôle. Cette option est utilisée au cours des enquêtes de réponse à un incident pour contenir une menace identifiée.
      • Recherche et suppression d’e-mails : fournit un moyen de rechercher un serveur de messagerie pendant un examen de sécurité et, si nécessaire, de supprimer les e-mails du serveur.
      • Enrichir l’élément de configuration : fournit un moyen général d’enrichir les éléments de configuration avec des informations supplémentaires provenant de différentes sources. Cette fonctionnalité est utilisée au cours des enquêtes de réponse aux incidents pour enrichir les données associées à un incident de sécurité.
      • Enrichir les observables : fournit un moyen général d’enrichir les observables avec des informations supplémentaires provenant de différentes sources. Cette option est utilisée au cours des enquêtes de réponse à un incident pour contenir une menace identifiée.
      • Ingestion d’événements : fournit un moyen général de créer un incident de sécurité en mappant les événements d’une source d’intégration à un incident de sécurité.
      • Obtenir les statistiques réseau : récupère une liste des connexions réseau actives à partir d’un point de terminaison ou d’un hôte. Cette option sert à enrichir les incidents au cours des enquêtes.
      • Obtenir les processus en cours d’exécution : récupère une liste des processus en cours à partir d’un point de terminaison ou d’un hôte. Cette option sert à enrichir les incidents au cours des enquêtes.
      • Isoler l’hôte : fournit un moyen d’isoler un point de terminaison ou un hôte associé à un incident de sécurité. Isoler l’hôte est exécuté sur un élément de configuration (CI).
      • Publier dans la liste de surveillance : fournit un moyen d’ajouter des observables associés à un incident de sécurité à une liste de surveillance qui surveille les événements de sécurité et génère des alertes. Cette option est utilisée dans le cadre de la réponse à un incident au cours des enquêtes.
      • Recherche de perceptions : recherche des instances d’observables dans différents SIEM ou d’autres magasins de journaux. Cette fonctionnalité est utilisée pour déterminer la présence d’IoC malveillants dans votre environnement.
      • Recherche de menace : effectue des recherches de renseignements sur les menaces pour déterminer si un observable défini est associé à une menace de sécurité connue. Cette option est utilisée dans le cadre de la réponse à un incident au cours des enquêtes.
    • Nouvelles tables :
      • sn_sec_cmn_capability : aptitude et flux qui implémentent l’aptitude.
      • sn_sec_cmn_capability_implementation : flux d’implémentation réel qui fournit les services de l’option.
      • sn_sec_cmn_capability_execution : enregistrement d’exécution d’une option lors de l’exécution.
      • sn_sec_cmn_capability_implementation_execution : enregistrement d’exécution d’une implémentation d’option lors de l’exécution.
      • sn_sec_cmn_filter_condition : conditions de filtre qui peuvent être appliquées pendant l’exécution à l’option ou à l’implémentation d’une option.
    • Include script : CapabilityProcessor : gère tout le code de traitement pour le framework.
    • Limite du taux : nombre maximal de demandes simultanées par période : définit le nombre d’intégrations qui peuvent être exécutées en parallèle.
    • Implémentation de l’aptitude du processus de tâche planifiée : s’exécute toutes les 15 secondes et peut être désactivée dans la page Propriétés de l’administration de la sécurité (Incident de sécurité > Administration > Propriétés.
      • Active ou désactive la tâche planifiée, Implémentations d’aptitudes de processus : cette tâche planifie et gère automatiquement les flux d’exécution d’implémentation d’aptitudes.
      • Active ou désactive les recherches ou les enrichissements automatisés : paramètre qui active ou désactive la tâche planifiée qui effectue la recherche automatisée des menaces ou l’enrichissement des observables lorsque des éléments observables sont ajoutés aux incidents de sécurité dans le cadre de travail d’aptitude actuel.
      • Active ou désactive la tâche planifiée Rechercher des observables d’incident de sécurité : cette tâche planifie automatiquement une tâche de recherche de menace ou d’enrichissement des observables lorsque des observables sont ajoutés à un incident de sécurité.

    Configurations dans le nouveau cadre de travail d’aptitude

    Cette section décrit les configurations disponibles dans le nouveau cadre de travail.

    Avant de commencer

    Rôle requis : sn_si.admin, flow_designer, action_designer

    Procédure

    1. Accédez à la Tous > Security Operations > Intégrations > Options.
      Remarque :
      Version 10.4 : à partir de Security Incident Response 10.4, le nom du menu Options a été remplacé par Options d’intégration (flux).
    2. Les options disponibles avec le système de base s’affichent.

      Flux d’aptitudes : prêts à l’emploi
      Remarque :

      Il s’agit des options fournies avec le système de base. Vous pouvez utiliser les options ou les personnaliser selon vos besoins. Les étapes suivantes décrivent comment configurer une option et les intégrations implémentées pour cette option.

    3. Cliquez sur le lien dans la colonne Nom pour configurer une option.
      Le nom, l’application, la description et le flux que l’aptitude implémente s’affichent.
      Flux d’aptitudes : Configurer l’aptitude
    4. Cochez la case Actif pour activer l’option.
      • Conditions de filtre au niveau de l’option : lorsqu’une option d’intégration implémente un flux, les conditions de filtre associées au flux seront exécutées avant le lancement du flux d’option. Par exemple, l’option de recherche de menace inclut la condition Filtrer les éléments observables sur liste d’autorisation, comme illustré ci-dessus. Cliquez sur le lien Nom pour modifier la condition de filtre.
        Remarque :
        Cochez la case Ajouter une note de travail à la tâche pour ajouter des notes de travail afin d’inclure des informations sur les conditions de filtre utilisées.

        Flux d’aptitudes : configurer l’aptitude : modifier la condition de filtre

        Vous pouvez définir des conditions de filtre, un script ou une combinaison des deux. Dans l’exemple ci-dessus, un script est utilisé pour définir les conditions de filtre. Lorsque le flux d’aptitude est exécuté, le script recherche les observables sur liste d’autorisation et les supprime de la table.

        Remarque :
        Les conditions de filtre définies ici s’appliquent à toutes les intégrations actives définies dans l’onglet Implémentations des aptitudes .
      • Implémentations d’aptitudes : cliquez sur l’onglet Implémentations d’aptitudes . Les implémentations (intégrations) qui ont été configurées pour l’option s’affichent. L’exemple ci-dessous montre les intégrations configurées pour l’option de recherche de menace :
        Flux d’options : Recherche de menace : Implémentations des options
    5. Cliquez sur le lien Nom pour afficher l’implémentation de l’option.
      Le nom, l’application, la description et le flux que l’aptitude implémente s’affichent.
    6. Cliquez sur la case à cocher Actif pour activer l’option.
      Flux d’aptitudes : Recherche de menace : VirusTotal

      Vous pouvez spécifier les détails suivants :

      Nom de champ Description
      Actif Cochez cette case pour activer la désactivation de cette intégration.
      Remarque :
      Si vous configurez cette intégration à l’aide de la vignette d’intégration dans le Security Operations > Intégrations > Configurations des intégrations, ce marqueur est automatiquement défini sur Actif.
      Ordre Indique l’ordre dans lequel les intégrations sont exécutées.
      Aptitude Aptitude implémentée par cette intégration.
      Flux Flux secondaire qui implémente l’aptitude.
      Configuration La configuration d’intégration pour cette option.
      Remarque :
      Celle-ci est initialement définie sur la configuration par défaut fournie avec le système de base. Lorsqu’une intégration est configurée à l’aide de la vignette d’intégration dans la page Configurations d’intégration , cette valeur est automatiquement réinitialisée à la nouvelle configuration créée.
      Limite du taux Indique le nombre d’intégrations qui peuvent être exécutées pendant l’exécution (en parallèle ou par unité de temps).
      Taille des entrées par lots Taille d’entrée par lots pour chaque exécution. Par exemple, pour une intégration de recherche d’observations, vous souhaiterez peut-être regrouper les observables en lots de 50 afin que les requêtes générées ne deviennent pas trop volumineuses. 0 indique qu’il n’y a pas de limite.
      Délai d'expiration Durée maximale avant l’annulation du flux d’implémentation de l’aptitude. 0 indique qu’il n’y a pas de délai d’expiration.
      Nombre total de demandes Nombre total de demandes d’exécution de l’implémentation. Ce champ, associé au champ Période de demande totale, peut être utilisé pour limiter le nombre de demandes adressées au service. Par exemple, vous pouvez limiter ce nombre à 4 requêtes par minute.
      Nombre total de demandes au cours de la période Nombre total de demandes d’exécution autorisées par période.
      Nombre limite de nouvelles tentatives Nombre de nouvelles tentatives autorisées pour une demande d’exécution ayant échoué. Cette limite s’applique si le marqueur Réessayer est défini dans votre intégration pour relancer une demande d’exécution lorsqu’une condition est remplie.

      Par exemple, une nouvelle demande est effectuée lorsque vous avez dépassé votre limite de licence pour ce service pendant une certaine période ou lorsque le service est en panne.
      Recommencer après Période après laquelle une nouvelle tentative est effectuée pour une demande d’exécution ayant échoué.
      Nombre maximal de demandes simultanées Nombre maximal de demandes d’exécution d’implémentation simultanées. 0 indique qu’il n’y a pas de limite.
      Configurations de recherche de perceptions Requêtes de recherche de perception par défaut qui peuvent être exécutées.
      Cliquez sur le lien Nom dans la section Conditions de filtre pour configurer les conditions définies pour l’implémentation. Ajoutez ou supprimez des conditions de filtre, modifiez le script si nécessaire et mettez à jour l’enregistrement.
      Flux d’aptitudes : Recherche de menace : VirusTotal : condition de filtre

    Utilisation du nouveau cadre de travail des options avec une intégration installée

    Cette section décrit comment utiliser le nouveau cadre de travail pour une intégration existante.

    Suivez les étapes ci-dessous pour activer une intégration déjà installée et configurée (voir la liste des intégrations prises en charge dans Intégrations et composants pris en charge) afin d’utiliser le nouveau cadre de travail des aptitudes.

    Remarque :
    Integration Capability Framework 2.0 disponible avec Security Incident Response 10.0.2 prend en charge les implémentations pour les options de recherche de menace etd’enrichissement des observables . Des implémentations pour d’autres fonctionnalités seront disponibles dans une version ultérieure.
    Avant de commencer
    • Rôle requis : sn_si.admin
    • Réponse aux incidents de sécurité 10.0.2
    1. Accédez à la Security Operations > Intégrations > Options.
    2. Cliquez sur l’aptitude de recherche de menace .
    3. Cliquez sur l’onglet Implémentation des options.
      Cadre de travail d’aptitude : nouvelle option
    4. 4. Afficher l’enregistrement d’implémentation de l’aptitude pour l’intégration d’intérêt (exemple : Crowdstrike Falcon Intelligence). La colonne Actif doit avoir la valeur Faux.
    5. Cliquez sur le lien Nom pour afficher l’enregistrement d’implémentation.
      Cadre de travail d’aptitude : enregistrement de l’implémentation d’une nouvelle option
    6. Sélectionnez la case à cocher Activé.
    7. Assurez-vous que l’enregistrement d’implémentation pointe vers le bon enregistrement de configuration (le nom de la vignette pour l’intégration dans Configurations d'intégration > Afficher les configurations (oui)).
      Cadre de travail d’aptitude : vignette de configuration
    8. L’implémentation est activée pour une utilisation avec le nouveau cadre de travail.
    Remarque :
    Toutes les intégrations prises en charge lorsqu’elles sont installées avec Security Incident Response 10.0.2 seront automatiquement activées dans le cadre du nouveau cadre de travail des options d’intégration.

    Utilisation du nouveau cadre de travail des aptitudes avec un flux

    Suivez les étapes ci-dessous pour créer un flux et appeler le flux secondaire fourni par le nouveau cadre de travail d’aptitude.

    Avant de commencer

    Les étapes ci-dessous décrivent comment créer un exemple de flux et appeler l’un des flux secondaires fournis avec le nouveau cadre de travail d’aptitude.

    Procédure

    1. Accédez à la Tous > Concepteur de flux > Concepteur.
    2. Cliquez sur Nouveau pour créer un flux et fournir les informations nécessaires pour les propriétés.
      Cadre de travail d’aptitude : créer un flux
      Remarque :
      Sélectionnez Utilisateur système dans la liste de choix Exécuter en tant que, comme illustré dans l’image ci-dessus.
    3. Sélectionnez une condition de déclenchement pour le flux (un déclencheur courant est la création d’un enregistrement d’incident de sécurité pour une certaine catégorie d’incident).
      Cadre de travail d’aptitude : créer un flux : déclencher
    4. À l’étape 1 du flux, sélectionnez une action pour obtenir des entrées de l’incident de sécurité (par exemple, des observables).
      Vous pouvez sélectionner une action parmi celles fournies avec le système de base à l’aide du spoke Security Support Common Spoke.

      Cadre de travail d’aptitude : créer un flux : action
    5. À l’étape 2, sélectionnez un flux secondaire (par exemple, Recherche de menace).
      Cadre de travail d’aptitude : Créer un flux : flux secondaire
    6. Configurez le flux secondaire que vous avez sélectionné, comme indiqué ci-dessous :
      Cadre de travail d’aptitude : Créer un flux : configurer un flux secondaire
    7. Enregistrez et publiez le flux.

    Dépannage des flux d’options d’intégration

    L’option Exécutions des aptitudes fournit des informations détaillées sur chaque option ayant été exécutée.

    Remarque :
    Les exécutions terminées sont archivées au bout de 30 jours.
    1. Accédez à la Security Operations > Intégrations > Exécutions des aptitudes..

      Cadre de travail des aptitudes : Exécutions des aptitudes
    2. Cliquez sur le lien Exécutions des aptitudes pour afficher des détails supplémentaires.

    Notes de travail d’enregistrement d’incident de sécurité

    Lorsque des observables ont été ajoutés à un incident de sécurité et que la condition de déclenchement du flux est remplie, les flux secondaires Recherche de menace et Enrichissement des observables sont lancés et les notes de travail suivantes sont ajoutées à l’incident de sécurité :
    • L’exécution du flux a commencé : Security Operations Integration - Enrichir les observables V1
    • Exécution du flux terminée : Security Operations Integration - Enrichir les observables V1
    • L’exécution du flux a commencé : Security Operations Integration – Threat Lookup V1
    • Exécution du flux terminée : Security Operations Integration – Recherche de menace V1

    Pour afficher ces notes de travail, connectez-vous en tant qu’utilisateur disposant des rôles sn_si.admin ou sn_si.analyst, ainsi que flow_designer et action_designer .

    Accédez à la page d’enregistrement de l’incident de sécurité et cliquez sur ces notes de travail pour afficher les détails de l’exécution du flux.
    Cadre de travail d’aptitude : incident de sécurité : notes de travail