Notas de versão Security Incident Response
A aplicação ServiceNow® Security Incident Response (SIR) ajuda sua organização a conectar as equipes de segurança e de TI, responder com mais rapidez e eficiência às ameaças e exibir a postura de segurança da sua organização. Security Incident Response foi aprimorado e atualizado na versão Washington DC.
Security Incident Response destaques para a versão Washington DC
- Faça chamadas em conferência, incluindo membros da equipe, clientes e outras partes interessadas para resolver problemas do cliente.
- Capture informações de MTTR (Tempo médio de reparo) por meio de métricas de uso e definição para incidentes de segurança.
- Monitore as solicitações de verificação e relate incidentes de segurança como um evento de risco para a equipe de Gestão de riscos do Espaço de resposta a incidentes de segurança.
- Crie um caso de atendimento ao cliente para o incidente de segurança diretamente do Espaço de resposta a incidentes de segurança, que será rastreado pela equipe do Customer Service Management (CSM).
- VirusTotal A integração do é fornecida com uma opção para enviar URLs como hashes para pesquisa de ameaças, para proteger a privacidade dos usuários na integração.
Importante:
Security Incident Response está disponível no ServiceNow Store. Para obter detalhes, consulte a seção "Informações de ativação" dessas notas de versão.
Novidades da versão Washington DC
- Major Security Incident Management
- Colabore com seus clientes e colegas de trabalho por meio de uma chamada em conferência para resolver problemas do cliente por meio de Microsoft Teams, Zoomou Webex. Você também pode capturar informações de bate-papo pós-chamada, gravações e participantes.
- Flow-based Playbooks
- Faça a transição mais facilmente de playbooks manuais ou não documentados para playbooks automatizados e repetíveis usando Flow Designer. Security Incident Response agora é compatível com os seguintes novos playbooks:
- Playbook for Office 365 - Malicious File Detected
- Playbook for Repeat Detection
- Playbook for Spoofed Emails (using the same Display name)
- Playbook for Endpoint Detection
- Playbook for Possible Password Spray
- Playbook for T1003 - Detect Credential Dumping Tools
- Playbook for Email Domain Spoofing Detection
- Playbook for Typo Squatted Domain
- Playbook for Credential Sniffing
- Playbook for T1070 - Windows Events Logs Cleared
- Playbook for OSquery of External Address in /etc/hosts file
- Playbook for User Deleting Bash History - Cloud
- Playbook for Successful VPN Attempts from the Service Accounts - Corp/Cloud
- Playbook for Attempted Access to Deactivated Accounts
- Playbook for T1003 - Defense Evasion - Mimikatz DCShadow
- Playbook for T1003 - Credential Dumping - Mimikatz DCSync
- Playbook for Okta User Login Failures from Multiple IPs
- Playbook for ModSec Brute force by IP Burst
- Manage post incident activities
- Security Incident Response agora oferece suporte aos seguintes recursos:
- Métricas de uso e definição de incidentes de segurança para capturar MTTR (tempo médio de reparo).
- Habilite ou desabilite a geração de relatório de análise pós-incidente (PIR) para incidentes de segurança secundários.
- Security Incident Response Workspace
- Agora você pode executar as seguintes tarefas no Espaço de resposta a incidentes de segurança:
- Monitorar solicitações de verificação
- Relatar incidentes de segurança como um evento de risco, que será rastreado pela equipe de Gestão de riscos
- Crie um caso de atendimento ao cliente para o incidente de segurança, que será rastreado pela equipe de Customer Service Management (CSM)
- Activate and configure the VirusTotal integration
- Envie URLs como hashes para pesquisa de ameaças para proteger a privacidade dos usuários na integração.
Alterado nesta versão
- Integração do Microsoft Azure Sentinel
-
- Quaisquer mudanças novas ou atualizadas feitas em Microsoft Azure Sentinel atualizarão automaticamente os respectivos dados de incidente SIR ao mapear os campos Microsoft Azure Sentinel. Para obter mais informações, consulteMap the Microsoft Azure Sentinel incident fields.
- Extraia todos os incidentes do Azure Sentinel abertos e encerrados pelo período de até 6 meses. Para obter mais informações, consulte Schedule the Microsoft Azure Sentinel incident retrieval.
Descontinuações
ServiceNow® Security Incident Response não é mais compatível com as seguintes integrações:
- Recorded Future
- Trusted Security Circles
Para obter mais informações sobre essas descontinuações, consulte o artigo Processo de descontinuação [KB0867184] na base de conhecimento Now Support.
Informações de ativação
Instale Security Incident Response solicitando-o do ServiceNow Store. Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.