来源：https://docs.servicenow.com/bundle/orlando-security-management/page/product/security-operations/concept/understanding-secops.html#understanding-secops

安全运营将安全工具中的事件数据引入到结构化的响应引擎中，该引擎使用智能工作流、自动化以及与IT的深度连接，根据威胁对组织的影响对它们进行优先排序并解决它们。

一、安全运营简而言之

根据您的公司和您许可的安全运营产品的需要，可以以任意多种方式配置安全运营生态系统。下图提供了一个基本安全运营系统的流程。

1、第一步是使用ServiceNow发现应用程序查找网络上的应用程序和设备，然后更新ServiceNow配置管理数据库(CMDB)。

2、将现有的安全信息和事件管理器(SIEM)工具与安全运营应用程序集成，以导入威胁数据(通过api或电子邮件警报)，并自动创建优先级的安全事件。

3、使用工作流和漏洞响应应用程序立即对事件、安全事件和漏洞进行优先级排序。

4、利用威胁情报应用丰富数据，以及其他机器学习或人工智能运营能力。

5、使用风险管理和其他治理、风险和法规遵循应用程序来识别、评估、响应和持续监视可能对业务操作产生负面影响的企业和IT风险。

6、所有安全运营应用程序内建的工作流将猜测和忙碌的工作排除在纠正之外。

7、使用指示板立即查看有关您的安全状况的详细信息。

二、将安全与IT连接起来

通过使用安全运营，安全分析人员和漏洞管理人员可以在统一的平台上与IT无缝通信。您可以将补丁和其他任务移交给它，同时仍然保持任务的可见性。基于技能的路由将任务分配给正确的响应者，服务水平协议确保工作按时完成。

Now平台促进了保安和资讯科技人员之间更快的协作;但是，敏感的安全数据仍然由用户角色保护。这意味着可以限制admin角色的用户对安全数据的访问，除非他们也具有安全角色。

三、可视化地跟踪您的安全性

安全操作提供了基于角色的仪表板和报告，您可以自定义它们来显示安全性的状态。所有安全事件和漏洞，以及丰富的上下文，可视地显示了您的关键业务服务如何受到威胁的影响。使用ServiceNow性能分析产品增强的仪表板显示您的安全性能随时间的变化状态，因此您可以跟踪您的安全状况是如何改进的。

在一个方便的视图中跟踪您的安全态势

四、安全运营的各个部分是如何组装在一起的呢

如图所示，安全运营似乎是一个难题。但是，当各个部分组合在一起时，您就可以看到整体情况，Now平台的强大功能和灵活性就变得显而易见了。每个应用程序以及每个触摸的其他应用程序将在后面的章节中描述。

注意:治理、风险和遵从性(GRC)应用程序不包括在安全运营应用程序套件中。但是，它们与安全运营集成并共享数据，因此包含在下面的描述和图中。

五、安全事件响应应用程序

安全操作生态系统的核心是安全事件响应(SIR)应用程序。安全事件响应通过应用加速补救的强大工作流和自动化工具，简化了识别关键事件的过程。将现有的安全信息和事件管理器(SIEM)工具与安全操作应用程序集成，以导入威胁数据(通过api或电子邮件警报)，并自动创建优先级的安全事件。

在安全运营生态系统中有许多自动和手动创建安全事件的途径，如本文所示。

您可以轻松地查看和跟踪响应任务。通过使用SLA阈值，如果任务没有按时完成，或者任务被自动升级，安全事件响应将通知分配给分析人员，这取决于系统的配置方式。因此，没有任务被跳过，没有决策被忽略。此外，分析师还可以通过电话会议或使用Connect聊天功能，主动让涉众参与到Now平台的圈子中来。

当SIR与ServiceNow威胁情报应用程序集成时，安全事件响应自动化基本任务，如批准请求、恶意软件扫描或威胁数据丰富。这种类型的自动化加速了事件响应，并允许安全团队花更多的时间寻找复杂和关键的威胁。用于集成安全产品的编排包从安全运营内部自动化经常重复的操作，例如防火墙阻止请求。Playbooks允许您逐步解决某些类型的安全威胁。例如，您可以使用playbook解决钓鱼攻击和恶意代码活动造成的威胁。

所有事故活动，从分析和调查，到遏制和补救，都在平台中进行跟踪。当一个事件被关闭时，一个事件后的评审被分发给所有的团队成员，以创建一个历史的审计记录以供将来参考。

六、漏洞响应应用程序

漏洞响应应用程序帮助确定脆弱资产的优先级，并添加上下文来帮助您确定业务关键型系统何时受到威胁。使用CMDB，漏洞响应也可以很容易地识别跨系统的依赖关系，并快速评估变更或宕机时间对业务的影响。您可以查看影响给定服务的所有漏洞，以及影响组织的所有漏洞的当前状态。

响应团队还可以利用Now平台中的工作流和自动化工具来更快地修复漏洞。当发现关键漏洞时，工作流可以自动启动紧急补丁批准请求。一旦批准，编制工具可以应用补丁，并触发额外的漏洞扫描，以确保问题已经解决。

对于非紧急的补丁，只需单击按钮创建更改请求并发送相关信息给它。这将导致针对跨服务和资产的漏洞的协调补救策略，可以快速处理最关键的项。

七、威胁情报应用

安全运营包括一个威胁情报应用程序，以帮助事件响应者找到破坏指标(IoC)和寻找低处攻击和威胁。当一个IoC与一个安全事件相连接时，它自动搜索威胁源的相关信息，并可以将IoC发送到第三方来源进行额外的分析。结果将直接报告在安全事件记录中，供分析人员审阅，节省宝贵的时间。ServiceNow支持多种威胁feed，以及STIX和TAXII，以合并来自各种来源的威胁情报数据。

八、配置遵从性应用程序

不正确配置的软件会使组织面临妥协的风险。配置遵从性使用从第三方安全配置评估扫描中收集的数据对配置错误的资产进行优先级排序和补救。它利用CMDB来确定哪些项是最关键的。工作流和自动化允许针对单个资产或组对批量更改进行快速操作。

在单一平台上与IT轻松协调，以处理更改和更新。此外，可以将配置遵从性数据输入到ServiceNow治理、风险和遵从性的持续监视特性中，以进一步降低风险。

九、可信安全圈应用程序

与业内同行、供应商或全球ServiceNow客户共享威胁情报数据。向其他用户发送一个包含安全可观察对象的匿名查询，并自动接收目击计数。有了这些数据，安全分析人员可以确定可疑活动是否可能是更大规模攻击的一部分。

用户可以设置目击计数阈值，以便在超过可观察计数限制时自动创建安全事件。参与可信安全圈可以作为针对普通组的攻击的早期预警。

可信安全圈如何与其他安全操作应用程序一起工作