Estrutura de capacidades de integrações 2.0

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 12 min. de leitura

    • O novo Integration Capabilities Framework 2.0 foi reprojetado para permitir a implementação de integrações de maneira simples e consistente. Isso garante uma experiência consistente para tipos semelhantes de integrações (por exemplo: pesquisa de reputação de observável).

    A nova estrutura tem recursos implementados usando fluxos.

    Os benefícios da implementação da estrutura aprimorada incluem:

    • Os fluxos de capacidade que incluem somente componentes de nível de negócios sem qualquer lógica específica de implementação.
    • Os fluxos de capacidade agora aceitam uma ampla matriz de entradas e formatos para máxima flexibilidade (por exemplo, referências observáveis, referências de IC, tarefas, qualquer tabela ou combinações de sys_id).
    • A limitação ou limitação de taxa nas execuções de integração agora são fáceis de configurar (removendo a necessidade de fazer isso usando código personalizado ou mudanças nos fluxos de trabalho de implementação).
    • As capacidades aprimoradas de auditoria e acompanhamento de execução agora permitem relatórios melhores e uma solução de problemas mais fácil.
    • Funções robustas de tratamento de erros são integradas aos fluxos de capacidade para evitar a duplicação de rotinas de implementação.
    • Capacidade de configurar o gatilho condicional dos recursos ou das integrações. Isso fornece flexibilidade para iniciar automaticamente automações com base na categoria de incidente.
    • Uma condição de filtro padrão foi introduzida em todos os recursos para filtrar observáveis listados antes que as entradas sejam fornecidas para as integrações.
    Nota:
    Esta nova estrutura de recursos não atualiza a estrutura de recursos atual. Ambas as estruturas podem funcionar em paralelo. Para obter instruções sobre como aproveitar a nova estrutura de recursos, consulte Usando o novo Capability Framework com uma integração instalada e Como usar o novo Capability Framework com um fluxo.

    Integrações e componentes compatíveis

    O plug-in Security Incident Response inclui todos os fluxos de recursos listados no Integration Capabilities Framework 2.0 e filtros de alto nível padrão que você pode habilitar ou desabilitar, dependendo do seu requisito.

    Nota:
    Se você quiser usar o novo Capability Integration Framework com a versão New York, deverá instalar o plug-in ServiceNow IntegrationHub Starter Pack Installer. Entre em contato com o Suporte ao cliente para obter assistência com a instalação.

    Versões da aplicação compatíveis

    A partir do Security Incident Response 10.0, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Security Operations Hybrid Analysis Integration 10.0.0
    Security Operations PhishTank Integration 10.0.0
    Security Operations ThreatCrowd Integration 10.0.0
    Security Operations CrowdStrike Intelligence Integration 10.0.0
    Security Operations "Recebi uma doação?" Integração 10.0.0
    Integração do Metadefender do Security Operations 10.0.0
    Integração futura registrada do Security Operations 10.0.0
    Security Operations VirusTotal Integration 10.0.0
    Integração reversa de WhoIs do Security Operations 10.0.0
    A partir do Security Incident Response 10.4, as seguintes integrações são compatíveis:
    Aplicação Versão mínima necessária
    Security Operations RiskIQ Integration 10.0.0
    Security Operations Shodan Integration 10.0.0
    Integração WhoIs do Security Operations 10.0.0
    Security Operations Carbon Black Integration 10.3.1
    Security Operations Splunk Search Integration 10.3.0
    Security Operations ArcSight Logger Integration 10.3.0
    Security Operations McAfee ESM Integration 10.3.0
    Security Operations Elasticsearch Integration 10.3.0
    Security Operations IBM QRadar Integration 10.3.1
    Host CrowdStrike Falcon do Security Operations 10.3.0

    Componentes incluídos

    O novo Capability Integration Framework inclui os seguintes componentes:

    • Recursos: todos os recursos a seguir que existem no produto hoje como fluxos de trabalho foram reprojetados usando fluxos:
      • Solicitação de bloqueio: fornece uma maneira de bloquear observáveis associados a um incidente de segurança em um firewall, proxy da web ou algum outro ponto de controle. Essa capacidade é usada durante as investigações de resposta do incidente com uma ameaça identificada.
      • Pesquisa e exclusão de e-mail: fornece uma maneira de pesquisar um servidor de e-mail durante uma investigação de segurança e, se necessário, excluir e-mails do servidor.
      • Aprimorar item de configuração: fornece uma maneira geral de aprimorar itens de configuração com informações adicionais de várias fontes. Esta capacidade é usada durante as investigações de resposta do incidente para aprimorar os dados associados a um incidente de segurança.
      • Aprimorar observável: fornece uma maneira geral de aprimorar observáveis com informações adicionais de várias fontes. Essa capacidade é usada durante as investigações de resposta do incidente com uma ameaça identificada.
      • Ingestão de eventos: fornece uma maneira geral de criar um incidente de segurança mapeando eventos de uma origem de integração para um incidente de segurança.
      • Obter estatísticas de rede: recupera uma lista de conexões de rede ativas de um endpoint ou host. Essa capacidade é usada para aprimoramento de incidentes durante as investigações.
      • Obter processos em execução: recupera uma lista de processos em execução de um endpoint ou host. Essa capacidade é usada para aprimoramento de incidentes durante as investigações.
      • Isolar host: fornece uma maneira de isolar um endpoint ou um host associado a um incidente de segurança. Isolar host é executado em um item de configuração (IC).
      • Publicar na listade observação: fornece uma maneira de adicionar observáveis associados a um incidente de segurança a uma lista de observação que monitora eventos de segurança e gera alertas. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
      • Pesquisa de vistas: pesquisa váriosSIEMsou outros armazenamentos de log para instâncias de observáveis. Esta funcionalidade é usada para determinar a presença de IoCs mal-intencionados em seu ambiente.
      • Pesquisa de ameaças: executa pesquisas de inteligência contra ameaças para determinar se um determinado observável está associado a uma ameaça à segurança conhecida. Essa capacidade é usada como parte da resposta do incidente durante as investigações.
    • Novas tabelas:
      • sn_sec_cmn_capability: recurso e fluxo que implementa o recurso.
      • sn_sec_cmn_capability_implementation: o fluxo de implementação real que fornece os serviços da funcionalidade.
      • sn_sec_cmn_capability_execution: o registro de execução de uma capacidade no tempo de execução.
      • sn_sec_cmn_capability_implementation_execution: o registro de execução de uma implementação de recurso no tempo de execução.
      • sn_sec_cmn_filter_condition: as condições de filtro que podem ser aplicadas no tempo de execução à funcionalidade ou a uma implementação de funcionalidade.
    • Incluir script: CapabilityProcessor: lida com todo o código de processamento da estrutura.
    • Limite de taxa: capacidade máxima de solicitações simultâneas por período: define quantas integrações podem ser executadas em paralelo.
    • Implementação da capacidade do processo de trabalho programado: é executado a cada 15 segundos e pode ser desabilitado na página Propriedades de administração de segurança (Incidente de segurança > Administração > Propriedades.
      • Habilita ou desabilita o trabalho programado, Processar implementações de capacidade: este trabalho programa e gerencia automaticamente os fluxos de execução de implementação de capacidade.
      • Habilita ou desabilita pesquisas ou aprimoramentos automatizados: configuração que ativa ou desativa o trabalho programado que executa a pesquisa de ameaças automatizada ou o aprimoramento de observáveis quando observáveis são adicionados a incidentes de segurança na estrutura de recursos atual.
      • Habilita ou desabilita o trabalho programado, Pesquisar observáveis de incidente de segurança: este trabalho programa automaticamente uma Pesquisa de ameaças ou Aprimorar observáveis quando observáveis são adicionados a um incidente de segurança.

    Configurações no novo Capability Framework

    Esta seção descreve as configurações disponíveis na nova estrutura.

    Antes de Iniciar

    Função necessária: sn_si.admin, flow_designer, action_designer

    Procedimento

    1. Navegar até Tudo > Security Operations > Integrações > Habilidades.
      Nota:
      Versão 10.4: a partir do Security Incident Response 10.4, o nome do menu Recursos foi alterado para Recursos de integração (fluxos).
    2. Os recursos disponíveis com o sistema de base são exibidos.

      Fluxos de capacidade: prontos para uso
      Nota:

      Esses são os recursos fornecidos com o sistema de base. Você pode usar os recursos ou personalizá-los conforme necessário. As etapas a seguir descrevem como configurar um recurso e as integrações implementadas para o recurso.

    3. Clique no link na coluna Nome para configurar um recurso.
      O Nome, a Aplicação, a Descrição e o Fluxo que a capacidade implementa são exibidos.
      Fluxos de capacidade: configurar capacidade
    4. Marque a caixa de seleção Ativo para ativar o recurso.
      • Condições de filtro no nível de recurso: quando um recurso de integração implementa um fluxo, as condições de filtro associadas ao fluxo serão executadas antes que o fluxo de recurso seja iniciado. Por exemplo, a funcionalidade Pesquisa de ameaças inclui a condição Filtrar observáveis na lista de permissões, conforme mostrado acima. Clique no link Nome para editar a condição do filtro.
        Nota:
        Marque a caixa de seleção Adicionar anotação de trabalho à tarefa para adicionar anotações de trabalho e incluir informações sobre as condições de filtro usadas.

        Fluxos de capacidade: configurar capacidade: editar condição de filtro

        Você pode definir condições de filtro ou um script ou uma combinação de ambos. No exemplo acima, um script é usado para definir as condições do filtro. Quando o fluxo de recursos é executado, o script pesquisa observáveis da lista de permissões e os remove da tabela.

        Nota:
        As condições de filtro definidas aqui são aplicáveis a todas as integrações ativas definidas na guia Implementações de capacidade.
      • Implementações de capacidade: clique na guia Implementações de capacidade. As implementações (integrações) que foram configuradas para o recurso são exibidas. O exemplo abaixo mostra as integrações configuradas para a funcionalidade Pesquisa de ameaças:
        Fluxos de capacidade: Pesquisa de ameaças: Implementações de capacidade
    5. Clique no link Nome para exibir a Implementação de capacidade.
      O Nome, a Aplicação, a Descrição e o Fluxo que a funcionalidade implementa são exibidos.
    6. Clique na caixa de seleção Ativo para ativar o recurso.
      Fluxos de capacidade: pesquisa de ameaças: VirusTotal

      Você pode especificar os seguintes detalhes:

      Nome do campo Descrição
      Ativo Marque esta caixa de seleção para habilitar e desabilitar esta integração.
      Nota:
      Se você configurar esta integração usando o bloco de integração no Security Operations > Integrações > Configurações de integraçõespágina, este sinalizador será definido automaticamente como Ativo.
      Ordem Indica a ordem na qual as integrações são executadas.
      Recurso A capacidade implementada por esta integração.
      Fluxo O subfluxo que implementa a funcionalidade.
      Configuração A configuração de integração para esta capacidade.
      Nota:
      Isso é definido inicialmente com a configuração padrão fornecida com o sistema de base. Quando uma integração é configurada usando o bloco de integração na página Configurações de integração, esse valor é redefinido automaticamente para a nova configuração criada.
      Limite de Taxa Indica o número de integrações que podem ser executadas no tempo de execução (em paralelo ou por unidade de tempo).
      Tamanho das Entradas em Lote O tamanho da entrada em lote para cada execução. Por exemplo, para uma integração do Sighting Search, convém agrupar os observáveis em lotes de 50 para que as consultas geradas não se tornem muito grandes. 0 indica que não há limite.
      Período de tempo limite A duração máxima antes que o fluxo de implementação da capacidade seja cancelado. 0 indica que não há período de tempo limite.
      Total de solicitações O número total de solicitações de execução de implementação. Este campo, em conjunto com o campo Período total de solicitações, pode ser usado para limitar o número de solicitações ao serviço. Por exemplo, você pode limitar o número a 4 solicitações por minuto.
      Período de solicitações total O número total de solicitações de execução permitidas por período.
      Limite de novas tentativas O número de novas tentativas permitidas para uma solicitação de execução com falha. Este limite será aplicável se o sinalizador Repetir estiver definido em sua integração para tentar novamente uma solicitação de execução quando uma condição for atendida.

      Por exemplo, uma solicitação de nova tentativa é feita quando você excede o limite de licença para esse serviço por um período ou o serviço está inativo.
      Tente novamente após O período após o qual uma tentativa é feita para tentar novamente uma solicitação de execução com falha.
      Máximo de Solicitações Simultâneas O número máximo de solicitações de execução de implementação simultâneas. 0 indica que não há limite.
      Configurações de Pesquisa de Vista As consultas de pesquisa de vista padrão que podem ser executadas.
      Clique no link Nome na seção Condições do filtro para configurar as condições definidas para a implementação. Adicione ou exclua condições de filtro, modifique o script se necessário e atualize o registro.
      Fluxos de capacidade: Pesquisa de ameaças: VirusTotal: condição de filtro

    Usando o novo Capability Framework com uma integração instalada

    Esta seção descreve como usar a nova estrutura para uma integração existente.

    Use as etapas abaixo para habilitar uma integração já instalada e configurada (consulte a lista de integrações compatíveis em Integrações e componentes compatíveis) para usar a nova estrutura de recursos.

    Nota:
    O Integration Capability Framework 2.0 disponível com o Security Incident Response 10.0.2 oferece suporte a implementações dos recursos Pesquisa de ameaças e Aprimorar observável. Implementações para outros recursos serão disponibilizadas em uma versão futura.
    Antes de começar
    • Função necessária: sn_si.admin
    • Security Incident Response 10.0.2
    1. Navegar até Security Operations > Integrações > Habilidades.
    2. Clique no recurso Pesquisa de ameaças.
    3. Clique na guia Implementação de recursos.
      Estrutura de capacidade: nova capacidade
    4. 4. Exiba o registro de implementação de capacidade da integração de interesse (exemplo: Crowdstrike Falcon Intelligence). A coluna Ativa deve ter o valor Falso.
    5. Clique no link Nome para exibir o registro de implementação.
      Estrutura de capacidade: novo registro de implementação de capacidade
    6. Marque a caixa de seleção Ativo.
    7. Certifique-se de que o registro de implementação esteja apontando para o registro de configuração correto (o nome do bloco para a integração em Configurações de Integração > Mostrar configurações (Sim)).
      Estrutura de capacidade: bloco de configuração
    8. A implementação está habilitada para uso com a nova estrutura.
    Nota:
    Todas as integrações compatíveis quando instaladas com o Security Incident Response 10.0.2 serão habilitadas automaticamente na nova estrutura de capacidade de integração.

    Como usar o novo Capability Framework com um fluxo

    Use as etapas abaixo para criar um fluxo e chamar o subfluxo fornecido pela nova estrutura de recursos.

    Antes de Iniciar

    As etapas abaixo descrevem como criar um fluxo de amostra e chamar um dos subfluxos fornecidos com a nova estrutura de recursos.

    Procedimento

    1. Navegar até Tudo > Flow Designer > Designer.
    2. Clique em Novo para criar um novo fluxo e fornecer as informações necessárias para as propriedades.
      Estrutura de capacidade: criar novo fluxo
      Nota:
      Selecione Usuário do sistema na lista de seleção Executar como, conforme mostrado na imagem acima.
    3. Selecione uma condição do gatilho para o fluxo (um gatilho comum é a criação de um registro de incidente de segurança para uma determinada categoria de incidente).
      Estrutura de capacidade: criar novo fluxo: gatilho
    4. Na etapa 1 do fluxo, selecione uma ação para obter entradas do incidente de segurança (por exemplo, observáveis).
      Você pode selecionar uma ação das ações fornecidas com o sistema de base com o Security Support Common Spoke.

      Estrutura de capacidade: criar novo fluxo: ação
    5. Na etapa 2, selecione um subfluxo (por exemplo, Pesquisa de ameaças).
      Estrutura de capacidade: criar novo fluxo: subfluxo
    6. Configure o subfluxo selecionado conforme mostrado abaixo:
      Estrutura de capacidades: Criar novo fluxo: configurar subfluxo
    7. Salve e publique o fluxo.

    Fluxos de capacidade de integração de solução de problemas

    A opção Execuções de capacidade fornece informações detalhadas sobre cada capacidade que foi executada.

    Nota:
    As execuções concluídas são arquivadas após 30 dias.
    1. Navegar até Security Operations > Integrações > Execuções de capacidade..

      Estrutura de capacidade: execuções de capacidade
    2. Clique no link Execuções de capacidade para exibir detalhes adicionais.

    Anotações de trabalho de registro de incidente de segurança

    Quando os observáveis são adicionados a um incidente de segurança e a condição do gatilho para o fluxo é atendida, os subfluxos Pesquisa de ameaças e Aprimorar observável são iniciados e as seguintes anotações de trabalho são adicionadas ao incidente de segurança:
    • Execução de fluxo iniciada: Security Operations Integration - Aprimorar observável V1
    • Execução de fluxo concluída: Security Operations Integration - Enrich Observable V1
    • Execução de fluxo iniciada: Security Operations Integration – Pesquisa de ameaças V1
    • Execução de fluxo concluída: Security Operations Integration – Pesquisa de ameaças V1

    Para exibir essas anotações de trabalho, faça login como um usuário com as funções sn_si.admin ou sn_si.analyste flow_designere action_designer.

    Navegue até a página de registro do incidente de segurança e clique nessas anotações de trabalho para exibir os detalhes da execução do fluxo.
    Estrutura de capacidade: incidente de segurança: anotações de trabalho