alokzef/servicenow-security-incident-response
GitHub: alokzef/servicenow-security-incident-response
一款定制化 ServiceNow 应用,通过自动化分诊工作流实现安全事件的检测、优先级评估和智能路由,缩短事件响应周期。
Stars: 0 | Forks: 0
# 自动化安全事件响应 (SIRT) 分诊
一款定制的 ServiceNow 应用程序,旨在自动化关键安全事件的检测、优先级排序和路由。该项目通过消除手动分类并为高风险基础设施威胁建立即时通信渠道,从而最大限度地缩短了事件响应的生命周期。
## 🚀 主要功能
* **动态事件分诊:** 自动拦截传入的安全警报,并根据自定义的影响力和紧急性矩阵规则评估优先级。
* **Flow Designer 自动化:** 利用后端工作流动态评估记录并管理分配组。
* **通知引擎:** 内置出站通信配置,可就高危漏洞立即向修复团队发出警报。
* **Source Control 集成:** 通过 ServiceNow Studio 与 GitHub 完全集成,实现标准的 CI/CD 跟踪和备份。
## 📂 应用结构
本仓库包含直接从 ServiceNow Studio 导出的元数据和配置文件。关键应用程序文件按以下逻辑层进行组织:
* **`1c2ba4b7937143108988fc20ed03d6b5/`(Application Scope 文件夹):** 托管为此 application scope 构建的所有自定义记录的主数据目录。
* **Data Schema:** 包含自定义 `Security Incident Ticket` 表的定义、字段、布局视图和访问控制 (ACL)。
* **User Interface:** 包含为安全分析师优化的表单布局、列表视图和模块配置。
* **`Automation / Flows`:** 存放在 Flow Designer 中创建的 **`Triage Security Incident`** flow 的元数据配置。该引擎作为核心监听器,在创建事件时触发处理流程。
* **`sn_source_control.properties`:** ServiceNow Git 引擎用于处理持续集成映射的系统跟踪配置。
## 🛠️ 设置与安装指南
### 前置条件
1. 运行兼容系列版本(例如 Washington 或 Xanadu)的 ServiceNow 个人开发者实例 (PDI)。
2. 拥有一个 GitHub 账户,并生成包含 `repo` scope 权限的 Personal Access Token (Classic)。
### 步骤 1:在 ServiceNow 中创建基本身份验证凭据
由于 ServiceNow 需要安全的平台握手才能从 GitHub 拉取文件,因此您必须在平台实例中注册您的 token:
1. 登录您的 ServiceNow 主平台界面。
2. 在 Filter Navigator 中,输入 `discovery_credentials.list` 并按 **Enter**。
3. 点击 **New** 并选择 **Basic Auth Credentials**。
4. 使用以下设置配置记录:
* **Name:** `GitHub - `
* **User name:** 您的 GitHub 账户用户名。
* **Password:** 粘贴您的 GitHub **Personal Access Token (`ghp_...`)**。
5. 点击 **Submit**。
### 步骤 2:通过 ServiceNow Studio 导入应用程序
1. 在您的 ServiceNow 实例中,打开 Filter Navigator,输入 **`Studio`**,然后点击它以启动开发环境。
2. 在应用程序选择模态窗口中,点击 **Import from Source Control** 按钮。
3. 提供以下集成参数:
* **URL:** `https://github.com/alokzef/servicenow-security-incident-response.git`
* **Credential:** 选择您在步骤 1 中创建的 `GitHub - ` 配置文件。
* **Branch:** 留空或设置为默认分支以拉取核心应用程序结构。
4. 点击 **Import**。ServiceNow 将拉取元数据,编译组件,并立即在您的实例中激活应用程序表和 flow。
### 步骤 3:激活核心组件
* **Forms & Fields:** 在您的应用程序菜单中导航至 `Security Incident Ticket`,以查看或修改数据录入表单。
* **Workflow Automation:** 打开 **Flow Designer**,找到 `Triage Security Incident` flow,并确保其状态已切换为 **Active**,以便它能拦截实时传入的记录。
*
标签:网络安全研究