Krishcyber2005/ServiceNow-Cybersecurity-ITSM-Incident-Response-Workflow-Lab
GitHub: Krishcyber2005/ServiceNow-Cybersecurity-ITSM-Incident-Response-Workflow-Lab
该项目是一个在 ServiceNow 平台上模拟企业网络安全事件响应与 ITSM 工作流的实操实验室。
Stars: 0 | Forks: 0
# ServiceNow 网络安全 ITSM 与事件响应工作流实验室
## 项目概述
本项目使用 ServiceNow 个人开发者实例来模拟专注于网络安全 ITSM 的工作流。本项目并未构建基础的服务台工单实验室,而是演示了如何使用 ServiceNow 对安全事件进行记录、确定优先级、分配、升级、修复和报告。
该实验室侧重于实用的安全运营工作流,例如网络钓鱼收集、可疑登录升级、漏洞修复、CMDB 资产映射、变更管理、知识库文章和报告。
## 项目目标
本项目的目标是演示网络安全运营在识别警报或用户报告后如何依赖于结构化的 ITSM 流程。
此实验室展示了安全分析师如何:
* 创建并分诊安全事件
* 将事件与受影响的 CMDB 资产关联
* 将工单分配给正确的安全团队
* 使用影响和紧急性确定事件的优先级
* 将可疑登录活动从 SOC 升级到 IAM
* 通过变更管理跟踪漏洞修复
* 使用工作记录记录调查步骤
* 创建用于可重复安全程序的知识库文章
* 为安全事件构建报告可见性
## 实验室环境
* ServiceNow 个人开发者实例
* 事件管理
* 变更管理
* 配置管理数据库
* 知识管理
* 报告
## 模拟组织
**公司:** MapleTech Financial Services
创建此虚构组织是为了模拟一个包含终端、服务器、云资产、身份系统和安全运营团队的企业环境。
## 网络安全分配组
创建了以下分配组来模拟真实的安全和 IT 运营所有权:
| 分配组 | 用途 |
| ----------------------------------- | ---------------------------------------------------------------------------------------------- |
| Cyber Lab - SOC Tier 1 | 对安全警报、网络钓鱼报告、可疑登录活动进行初步分诊并执行升级 |
| Cyber Lab - IAM Security Team | 审查账户入侵、未经授权的访问、锁定以及与身份相关的事件 |
| Cyber Lab - Infrastructure Security | 处理终端/服务器修复、安全补丁和漏洞工单 |
| Cyber Lab - Cloud Security Team | 处理 AWS/云配置错误、日志记录、访问控制以及云修复工单 |
| Cyber Lab - Change Advisory Board | 审查可能影响生产系统的修复变更 |
| Cyber Lab - Service Desk L1 | 接收用户提交的 IT/安全报告,并升级已确认的安全问题 |
## 实验室用户
创建了示例用户以代表员工和安全团队成员:
| 用户 | 角色 |
| -------------- | --------------------------------------- |
| Alex Morgan | 报告网络钓鱼的员工 |
| Priya Shah | SOC 分析师 |
| Daniel Lee | IAM 分析师 |
| Marcus Chen | 云安全分析师 |
| Sarah Thompson | 基础设施安全分析师 |
| Krish Patel | 安全运营分析师 / 实验室负责人 |
## CMDB 资产
创建了以下配置项以模拟企业资产:
| 配置项 | 资产类型 | 用途 |
| ------------------ | ------------------- | --------------------------------------------------------------------------- |
| DC01 | Server | 用于可疑登录和暴力破解警报工作流的域控制器 |
| WIN10-CLIENT01 | Workstation | 用于网络钓鱼和漏洞修复场景的终端 |
| WAZUH-SIEM01 | Server | 用于模拟警报收集的 SIEM/日志监控服务器 |
| AWS-WEB01 | Cloud Server | 用于云配置错误工作流的面向公众的云服务器 |
| AWS-APP01 | Cloud Server | 用于云隔离工作流的私有应用服务器 |
| VPN-GATEWAY01 | Network Device | 用于访问审查工作流的远程访问网关 |
| M365-TENANT01 | Application Service | 用于网络钓鱼报告工作流的电子邮件/协作服务 |
## 安全事件场景
### 1. 网络钓鱼邮件报告
一名用户报告了可疑的 Microsoft 365 登录验证邮件。该工单被分配给 SOC Tier 1,关联到 M365 租户配置项,被确定为高优先级安全事件,并通过 SOC 分诊工作记录进行了记录。
**展示的关键操作:**
* 用户报告的网络钓鱼收集
* SOC 分配组路由
* 受影响 CI 映射
* 工作记录文档
* 用户指导和调查步骤
### 2. 可疑登录 / 暴力破解警报
模拟的 SIEM 警报显示针对 DC01 的多次失败登录尝试。该事件最初被分配给 SOC Tier 1,随后升级至 IAM Security Team 进行身份审查。
**展示的关键操作:**
* 关键事件优先级确定
* DC01 资产映射
* SOC 分诊记录
* SOC 到 IAM 的升级
* 身份审查工作流
### 3. 漏洞修复
模拟的漏洞扫描发现 WIN10-CLIENT01 缺少一个关键的安全补丁。该事件被分配给 Infrastructure Security,并关联到一个正式的修复变更请求。
**展示的关键操作:**
* 漏洞修复跟踪
* 终端 CI 映射
* 风险评估记录
* 变更请求创建
* 补丁规划和修复证据
## 变更管理工作流
创建了一个常规变更请求,以修复 WIN10-CLIENT01 上的模拟漏洞。
该变更请求包括:
* 配置项:WIN10-CLIENT01
* 优先级:高
* 风险:中
* 影响:高
* 分配组:Cyber Lab - Infrastructure Security
* 实施计划
* 回退计划
* 测试计划
* 受影响 CI 链接
这演示了如何通过正式的变更控制来管理漏洞修复,以降低运营风险并保留审批、测试和回退计划的证据。
## 知识库文章
创建了知识库文章以记录可重复的安全程序。
计划或创建的 SOP 包括:
* 网络钓鱼邮件分诊 SOP
* 漏洞修复和变更请求 SOP
* 可疑登录警报响应 SOP
这些文章有助于标准化安全响应步骤并提高文档质量。
## 报告
创建了一个报告,使用以下过滤器按分配组显示网络安全事件:
`Short description contains SECURITY`
此报告提供了有关安全事件如何分布在 SOC、IAM 和 Infrastructure Security 团队中的可见性。
## 截图
截图存储在 `screenshots/` 文件夹中。
推荐的截图:
1. ServiceNow PDI 主页
2. 网络安全分配组
3. 实验室用户
4. SOC Tier 1 组成员
5. CMDB 资产列表
6. DC01 CI 记录
7. AWS-WEB01 CI 记录
8. 网络钓鱼安全事件
9. 可疑登录 IAM 升级
10. 漏洞修复事件
11. 补丁变更请求
12. 链接到变更请求的漏洞事件
13. 知识库文章
14. 安全事件报告
## 展示的技能
* ServiceNow ITSM
* 事件管理
* 变更管理
* CMDB
* 知识管理
* 安全事件分诊
* SOC 工作流记录
* IAM 升级
* 漏洞修复跟踪
* 云安全工作流
* 基于风险的优先级划分
* 工作记录和关闭证据
* 安全运营报告
## 经验总结
本实验室帮助演示了网络安全运营不仅仅是识别警报。强大的安全工作流还需要记录、优先级划分、分配、升级、修复跟踪、变更控制和基于证据的关闭。
通过使用 ServiceNow ITSM,本项目展示了安全团队如何以结构化且可审计的方式跨 SOC、IAM、基础设施和云安全职能管理事件。
## 项目状态
核心工作流已完成:
* 创建了分配组
* 创建了实验室用户
* 创建了 CMDB 资产
* 创建了安全事件工单
* 记录了 SOC 到 IAM 的升级
* 创建了漏洞修复事件
* 创建了变更请求
* 启动了知识库文章工作流
* 配置了安全事件报告
未来的改进:
* 构建包含多个安全报告的完整仪表板
* 为关键和高优先级的安全事件添加 SLA 规则
* 添加更多云安全和 IAM 场景
* 将知识库文章直接链接到事件
* 添加更详细的事件关闭记录
标签:GPT, ITSM, IT资产管理, ServiceNow, 安全运营, 扫描框架, 漏洞管理