Security Incident Response – Integração da Gestão de eventos

Os recursos da aplicação Gestão de eventos foram expandidos para oferecer suporte a Security Incident Response. O plug-in de suporte Security Incident Response Gestão de eventos analisa automaticamente o conteúdo de eventos em Gestão de eventos para preencher campos em incidentes de segurança.

Criação de eventos de segurança no sistema Gestão de eventos a partir das ferramentas Security Information and Gestão de eventos (SIEM)

• Funcionalidade de gestão de eventos - correlação de eventos, regras de evento e regras de alerta
• Mapeamento automático de valores de additional_information para o incidente de segurança resultante

Recursos:

Documentação de suporte da Gestão de eventos de incidentes de segurança

Documentação da Gestão de eventos

Security Incident Response - Import Set API integration

Além de usar Gestão de eventos para enviar eventos relacionados à segurança, a aplicação Security Incident Response fornece uma API Import Set que permite a criação direta de incidentes de segurança. O endpoint REST do conjunto de importação de incidente de segurança é http://localhost:8080/api/now/import/sn_si_incident_import.

Esta técnica de integração é útil quando a) Gestão de eventos não está instalado ou b) é desejado simplesmente criar incidentes de segurança sem passar pelo evento > alerta > fluxo de incidente de segurança que é necessário ao usar Gestão de eventos.

Criação de incidentes de segurança diretamente das ferramentas SIEM.

Correspondência automática de IC na criação do Incidente de segurança com base em IP, NetBIOS ou nome de domínio totalmente qualificado.

Recursos:

Documentação da API do conjunto de importação da plataforma

Inteligência contra ameaças - integração de origem de pesquisa

As origens de pesquisa fornecem a capacidade de enviar dados para origens de pesquisa externas para determinar se esses dados são mal-intencionados. Geralmente, esses dados são um endereço IP, URL, arquivo ou hash de arquivo.

Pesquise um endereço IP, URL, arquivo ou hash com um serviço de pesquisa externo.

Recursos úteis fornecidos:

• Maneira consistente de solicitar pesquisas de itens do catálogo e incidentes de segurança.
• Capacidades de limitação de taxa e limitação fornecidas com pouca/nenhuma codificação.
• Criação automática de entradas observáveis de Indicadores de comprometimento (IoC) para todos os problemas encontrados pelas origens de pesquisa.

Inteligência contra ameaças - integração da origem da ameaça

As origens de ameaça fornecem a capacidade de extrair dados de repositórios externos de inteligência contra ameaças. Esses dados são importados para as várias tabelas de indicadores de compromisso existentes no sistema. Coleções TAXII e listas de bloqueio simples são compatíveis nativamente. Para adicionar novas coletas TAXII (ou perfis baseados em um serviço de gestão de coleta ou descoberta), basta adicionar uma entrada. Da mesma forma, adicionar uma nova lista de bloqueios simples de coluna única é uma questão de inserir um novo registro e fornecer o URL da lista de bloqueios. Para conjuntos de dados mais complexos, uma integração personalizada pode ser fornecida para fazer uma chamada para um URL e analisar a resposta.

Recupere dados de uma fonte de inteligência contra ameaças para carregar em tabelas IoC.

Recursos úteis fornecidos:

• Suporte para listas de bloqueio simples e coleções TAXII sem codificação.
• Mecanismo simples para executar mensagens REST para recuperar dados.
• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processamento de dados de passagem retornados para fontes de dados (e conjuntos de importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes

Recursos:

Definir uma origem de ameaça

Vulnerability Response - integração de invocação do scanner

O Vulnerability Scanner Invocation é um ponto de entrada de integração leve que oferece suporte à invocação de verificações de vulnerabilidade da instância. Um scanner de vulnerabilidade de terceiros é chamado de forma assíncrona para programar uma verificação de itens de configuração ou endereços IP.

Faça uma solicitação ao scanner de terceiros para verificar um IC (usando informações de host derivadas do IC) ou endereço IP/endereços IP.

Recursos úteis fornecidos:

• Estrutura simples para definir implementações de scanner.
• Maneira consistente de solicitar verificações de itens do catálogo, incidentes de segurança e itens vulneráveis.
• Atualização automática de tarefas com o resultado da invocação de verificação.

Vulnerability Response - integração de dados

As integrações de dados de vulnerabilidade têm como objetivo recuperar dados de vulnerabilidade de sistemas de vulnerabilidade de terceiros. As saídas esperadas dessas integrações são entradas de vulnerabilidade e itens vulneráveis. Essa integração permite que os scanners de vulnerabilidade de terceiros funcionem de forma independente, com a expectativa de que as vulnerabilidades possam ser trabalhadas e rastreadas na instância.

Casos de uso cobertos:

• Recuperar bibliotecas de vulnerabilidades
• Recuperar emparelhamentos de vulnerabilidade/IC
• Sincronizar ICs com o sistema de gestão de vulnerabilidades

• Recuperação/processamento de dados desacoplados para reutilização do componente de integração.
• Suporte nativo para processamento de dados de passagem retornados para fontes de dados (e conjuntos de importação/mapas de transformação).
• Oferece suporte a várias solicitações de dados por integração (para chamadas paginadas) com a capacidade de passar contexto para chamadas subsequentes.

Recursos:

Documentação de integração de dados de vulnerabilidade