Security Incident Response – Integração com Gestão de eventos

Os recursos da aplicação Gestão de eventos foram expandidos para oferecer suporte a Security Incident Response. O plug-in de suporte Security Incident Response Gestão de eventos analisa automaticamente o conteúdo de eventos em Gestão de eventos para preencher campos em incidentes de segurança.

Criação de eventos de segurança no sistema Gestão de eventos a partir das ferramentas Security Information and Gestão de eventos (SIEM)

• Funcionalidade de gestão de eventos - correlação de eventos, regras de evento e regras de alerta
• Mapeamento automático de valores de additional_information para o incidente de segurança resultante

Recursos:

Documentação de suporte à gestão de eventos de incidentes de segurança

Documentação da Gestão de eventos

Security Incident Response - Integração de API do conjunto de importação

Além de usar Gestão de eventos para enviar eventos relacionados à segurança, a aplicação Security Incident Response fornece uma API de Conjunto para importação que permite a criação direta de incidentes de segurança. O endpoint REST do Conjunto para importação de incidentes de segurança é http://localhost:8080/api/now/import/sn_si_incident_import.

Esta técnica de integração é útil quando a) Gestão de eventos não está instalado ou b) se deseja simplesmente criar incidentes de segurança sem passar pelo evento > alerta > fluxo de incidente de segurança que é necessário ao usar Gestão de eventos.

Criação de incidentes de segurança diretamente das ferramentas SIEM.

Correspondência automática de IC na criação de incidentes de segurança com base em IP, NetBIOS ou nome de domínio totalmente qualificado.

Recursos:

Documentação da API do conjunto de importação da plataforma

Inteligência contra ameaças - integração de pesquisa de origem

As origens de pesquisa fornecem a capacidade de enviar dados para origens de pesquisa externas para determinar se esses dados são mal-intencionados. Geralmente, esses dados são um endereço IP, URL, arquivo ou hash de arquivo.

Pesquise um endereço IP, URL, arquivo ou hash com um serviço de pesquisa externo.

Capacidades úteis fornecidas:

• Maneira consistente de solicitar pesquisas de itens do catálogo e incidentes de segurança.
• Capacidades de limitação e limitação de taxa fornecidas com pouca/nenhuma codificação.
• Criação automática de entradas observáveis de Indicadores de compromisso (IoC) para todos os problemas encontrados por fontes de pesquisa.

Inteligência contra ameaças - integração da origem da ameaça

As origens de ameaças fornecem a capacidade de extrair dados de repositórios externos de inteligência contra ameaças. Esses dados são importados para as várias tabelas de Indicadores de Compromisso que existem no sistema. As coleções TAXII e as listas de bloqueio simples são compatíveis nativamente. Para adicionar novas coleções TAXII (ou perfis com base em um serviço de gestão de descoberta ou coleta), basta adicionar uma entrada. Da mesma forma, adicionar uma nova lista de bloqueios simples de coluna única é uma questão de inserir um novo registro e fornecer o URL da lista de bloqueios. Para conjuntos de dados mais complicados, uma integração personalizada pode ser fornecida para fazer uma chamada para um URL e analisar a resposta.

Recupere dados de uma origem de inteligência contra ameaças para carregar em tabelas de IoC.

Capacidades úteis fornecidas:

• Suporte para listas de bloqueio simples e coleções TAXII sem codificação.
• Mecanismo simples para executar mensagens REST para recuperar dados.
• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processamento de dados de passagem retornados para fontes de dados (e conjuntos para importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes

Recursos:

Definir uma origem de ameaça

Resposta a vulnerabilidades - Integração de invocação de scanner

A Invocação do Verificador de vulnerabilidades é um ponto de entrada de integração leve que oferece suporte à invocação de verificações de vulnerabilidade da instância. Um scanner de vulnerabilidade de terceiros é chamado de forma assíncrona para programar uma verificação de itens de configuração ou endereços IP.

Faça uma solicitação ao scanner de terceiros para verificar um IC (usando informações de host derivadas do IC) ou endereço IP/endereços IP.

Capacidades úteis fornecidas:

• Estrutura simples para definir implementações de scanner.
• Maneira consistente de solicitar verificações de itens do catálogo, incidentes de segurança e itens vulneráveis.
• Atualização automática de tarefas com o resultado da invocação de verificação.

Resposta a vulnerabilidades - integração de dados

As integrações de dados de vulnerabilidade têm como objetivo recuperar dados de vulnerabilidade de sistemas de vulnerabilidade de terceiros. As saídas esperadas dessas integrações são entradas de vulnerabilidade e itens vulneráveis. Essa integração permite que os verificadores de vulnerabilidade de terceiros funcionem de forma independente, com a expectativa de que as vulnerabilidades possam ser trabalhadas e rastreadas na instância.

Casos de uso cobertos:

• Recuperar bibliotecas de vulnerabilidades
• Recuperar emparelhamentos de vulnerabilidade/IC
• Sincronizar ICs com o sistema de gestão de vulnerabilidades

• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processamento de dados de passagem retornados para fontes de dados (e conjuntos para importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes.

Recursos:

Documentação de integração de dados de vulnerabilidade