リリース:バンクーバー
対象者
すべてのユーザー
概要
Now Learning でデルタ試験を受ける前に、このスタディガイドを確認してください。このナレッジ記事の記載内容は、認定資格を維持するためのデルタ試験で問われる可能性がある出題範囲をカバーしています。
この記事に加え、ServiceNow の 製品ドキュメントを確認することをお勧めします。
デルタ試験スタディガイドコンテンツ
ServiceNow® Security Incident Response (SIR) アプリケーションは、セキュリティチームと IT チームの連携、脅威に対する迅速かつ効率的な対応、会社のセキュリティ体制の確認に役立ちます。Security Incident Response は、Vancouver リリースで拡張および更新されました。
Vancouver リリースでは、新しい CrowdStrike Falcon Insight for Security Operations Integrations が Now Platform と連携して機能するため、インシデントのスコープについてさらに詳しいインサイトを得ることができます。CrowdStrike Falcon Insight は関連するすべてのエンドポイントイベントアクティビティをキャプチャします。Now Platform を使用して調査と修復アクションに集中できます。この統合は、ホストの詳細、ログオンユーザー、ネットワーク統計、実行中のサービス、実行中のプロセス、ホスト分離などの既存の機能に加えて、新しい SIR ワークスペースの UI フレームワークで構築された機能をサポートします。
CrowdStrike Falcon Insight for Security Operations Integration を使用すると、Now Platform Security Incident Response 製品を使用して、エンドポイントに対してリアルタイムで修復アクションを実行し、プロファイルを使用してホストに関する詳細情報を収集し、エンドポイントに対して特定のクエリまたはアクションを実行できます。
Vancouver リリースは、新しい McAfee ePO 統合 Endpoint Detection and Response (EDR) 機能も備えています。これは、Security Operations Center (SOC) のアナリストが、サイバー脅威を特定し、悪意のあるファイルによる損害を修復する際に役立ちます。この統合は、システム詳細の取得、脅威イベントの一覧表示、マルウェアスキャンの開始、ホスト分離などの既存の機能に加えて、新しい SIR ワークスペースの UI フレームワークで構築された機能をサポートします。
McAfee ePO 統合により、いくつかの主要な機能が利用可能になります。[Get system details (システムの詳細を取得)] 機能により、オペレーティングシステムの詳細を含むシステムの詳細を収集します。[Initiate malware scan (マルウェアスキャンを開始)] 機能により、スキャン設定とスケジュールに基づいて、影響を受けるエンドポイントのスキャンを開始します。[Isolate/Unisolate host (ホストを隔離/ホストの隔離を解除)] 機能により、調査対象のネットワークアクセスからシステムを削除し、ネットワークへのアクセスを復元します。[List threat events (脅威イベントのリスト表示)] 機能により、コンプライアンスのステータスと最新の脅威イベントを収集します。
Vancouver では、SIR ワークスペースダッシュボードも強化され、セキュリティインシデントマネージャー概要ダッシュボード、CISO 概要ダッシュボード、および CISO レポート概要ダッシュボードが提供されるようになりました。これらのダッシュボードには、新しいセキュリティインシデントやオープンセキュリティインシデントの平均経過時間など、Security Incident Response プロセスを分析する上で重要な測定基準が含まれています。
これらの注目の Security Incident Response のアップデートに加えて、Vancouver では、DLP 管理者が承認ルールを構成する機能など、Data Loss Prevention アプリケーションの重要なアップデートも提供しています。DLP 管理者は、応答オプションの詳細タイプを承認するためにエンドユーザーが提出した要求に同意する承認ルールを定義できます。ここから複数のレベルの承認を定義することもできます。承認レベルを設定した後、ユーザーは Data Loss Prevention Incident Response ユーザーワークスペースを使用してアサイン承認要求を承認または却下できます。
最後に、Vancouver リリースでは、ServiceNow® Security Incident Response は、Threat Crowd 統合をサポートしなくなったことに注意してください。したがって、Threat Crowd 統合を使用して観測事象に対して脅威のルックアップを実行すると、エラーが表示される可能性があります。Vancouver リリースの詳細および追加の変更点については、ServiceNow Vancouver リリースノートを参照してください。