ServiceNow Certified Implementation Specialist - Security Incident Response (CIS-SIR)
ServiceNow 安全事件响应实施专家认证,考查安全事件生命周期(Event → Containment → Eradication → Recovery)、威胁情报集成(STIX/TAXII/IOC 匹配/Observable 管理)、漏洞响应(Qualys/Tenable/Rapid7 扫描器集成 + Remediation Tasks)和 SOC Workspace 配置,60 题/90 分钟/及格 70%,$250 考试费。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证概述
ServiceNow Certified Implementation Specialist - SIR(CIS-SIR)验证你能在 ServiceNow 上实施 Security Operations(SecOps)中的 Security Incident Response(SIR)和 Vulnerability Response(VR)模块。SIR 将 SIEM 工具(Splunk/QRadar/Microsoft Sentinel)产生的安全告警导入 ServiceNow,由 SOC 分析师在 ServiceNow 的 Security Incident 工作台中处理:分类安全事件、关联威胁情报(IOC 匹配)、执行 Playbook(自动化响应步骤)、追踪修复进度。Vulnerability Response 模块则将 Qualys/Tenable 等漏洞扫描器的结果导入 CMDB,与 CI 关联后创建 Remediation Task 分配给修复团队。考试以场景题为主,需要具备信息安全基础知识。60 题、90 分钟、及格线 70%,$250 考试费。
考试领域
- Security Incident Response(SIR):安全事件完整生命周期 —— Event/Alert 导入 → Security Incident 创建(手动或自动)→ 分类与优先级(Impact × Urgency 矩阵)→ Investigation(调查,关联 Observables 和 IOC)→ Containment(遏制)→ Eradication(根除)→ Recovery(恢复)→ Post-Incident Review(事后分析);自动化事件创建规则;SLA 和升级配置;Major Security Incident 管理
- 威胁情报(Threat Intelligence):Threat Intelligence 数据源集成(STIX/TAXII 协议、第三方 Feed 导入);Observable Types(IP Address/Domain/File Hash/URL/Email Address 等)管理;IOC(Indicators of Compromise)匹配规则 —— 将 Security Incident 中的 Observables 与已知恶意 IOC 匹配;Sighting 记录自动生成;Threat Lookup 功能
- 漏洞响应(Vulnerability Response):第三方扫描器集成方式 —— Qualys、Tenable(Nessus)、Rapid7 的数据导入;Vulnerable Items 的创建、分组和优先级排序;Remediation Tasks 分配与追踪;Exception 处理(接受风险/推迟修复);Vulnerability Calculator(结合 CVSS 和业务影响计算综合评分);与 CMDB CI 的关联
- 安全运营配置(SecOps Configuration):SOC Workspace 界面配置;Playbooks(自动化响应步骤,类似 Flow Designer 的安全版本);Security Incident SLA 配置;事件分类(Category/Subcategory)规则;SIEM 集成(Connector 配置)
- 报表与仪表板(Reporting & Dashboards):Security Posture Dashboard;Performance Analytics for SecOps;MTTD(平均检测时间)和 MTTR(平均响应时间)指标
适合人群
ServiceNow SecOps 实施顾问(ServiceNow SecOps Consultant)在企业 SOC 数字化转型中负责 SIR/VR 模块实施,以及信息安全工程师(Information Security Engineer)希望获得 ServiceNow 安全运营官方认证的从业者。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 ServiceNow Certified Implementation Specialist - SIR(CIS-SIR)认证
- 能够独立实施 ServiceNow Security Operations:SIR 生命周期配置、Playbooks 设计、SIEM 集成
- 配置 Threat Intelligence 数据源和 IOC 匹配规则,实现威胁情报与安全事件的自动关联
- 实施 Vulnerability Response 模块:扫描器集成、Remediation Task 工作流、Exception 审批流程
考试详情
适合谁考
适合人群
- ServiceNow SecOps 实施顾问(ServiceNow SecOps Consultant)在企业 SOC 数字化转型中负责 SIR/VR 模块实施
- 信息安全工程师(Information Security Engineer)希望将安全事件响应流程迁移到 ServiceNow 平台
- SOC 分析师(SOC Analyst)日常使用 ServiceNow Security Operations 处理安全事件,希望获得官方认证
- 已持有 CSA 认证,具备信息安全背景、希望进入 ServiceNow 安全运营专业方向的从业者
开始前最好先有
- 建议先持有 ServiceNow CSA 认证
- 具备信息安全基础知识(NIST Incident Response Framework、MITRE ATT&CK 框架基本概念)
- 6 个月以上 ServiceNow Security Operations 模块实际使用经验
- 了解 SIEM 工具(Splunk/QRadar/Microsoft Sentinel)的基本工作原理
- 熟悉漏洞管理流程(了解 CVSS 评分和 Qualys/Tenable 扫描器的基本概念)
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
3 章同赛道认证对比
| ServiceNow CIS-SIR | CCDAK | CCFA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 专业级 | 助理级 | 专业级 |
| 考试费 | $250 | $150 | $300 |
| 时长 | 90 min | 90 min | 90 min |
| 题量 | 60 | 60 | 60 |
| 有效期 | 3 年 | 2 年 | 3 年 |
备考技巧与常见失误
60 题 90 分钟,平均每题 2 分钟,合理分配时间
及格分 70/100,不确定的题先标记跳过,回头再做
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
多选题会告诉你选几个,仔细看题目要求
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
备考只刷题不理解原理 — 考试场景题需要理解底层概念
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做