Integrace ServiceNow s Microsoft Defenderem pro IoT (starší verze)

Poznámka:

Nová integrace Operations Technology Manageru je teď dostupná z úložiště ServiceNow. Nová integrace zjednodušuje Microsoft Defender pro zařízení senzorů IoT, prostředky OT, síťová připojení a ohrožení zabezpečení datového modelu OT (Operational Technology) ServiceNow. Podívejte se na verzi softwaru, protože aktuální verze tohoto softwaru jsou možná k dispozici na webu ServiceNow.

Přečtěte si podpůrné odkazy a dokumenty ServiceNow pro podmínky služby ServiceNow.

Na starší integraci Microsoft Defenderu pro IoT s ServiceNow nemá vliv nová integrace a Microsoft ji bude i nadále podporovat.

Další informace najdete v nových integracích ServiceNow a dokumentaci ServiceNow v úložišti ServiceNow:

• Service Graph Připojení or (SGC)
• Reakce na ohrožení zabezpečení (VR)

Tento článek vám pomůže naučit se integrovat a používat ServiceNow s Microsoft Defenderem pro IoT.

Integrace Defenderu pro IoT s ServiceNow poskytuje centralizovanou viditelnost, monitorování a řízení pro prostředí IoT a OT. Tyto překlenuté platformy umožňují automatizovanou viditelnost zařízení a správu hrozeb pro dříve nedostupná zařízení ICS a IoT.

Služba ServiceNow Configuration Management Database (CMDB) je rozšířena a doplněna bohatou sadou atributů zařízení, které jsou nabízeny platformou Defender for IoT. To zajišťuje komplexní a nepřetržitý přehled o krajině zařízení. Tato viditelnost umožňuje monitorovat a reagovat z jednoho podokna skla.

Poznámka:

Microsoft Defender pro IoT byl formálně označován jako CyberX. Odkazy na CyberX odkazují na Defender for IoT.

V tomto článku získáte informace o těchto tématech:

• Stažení aplikace Defender for IoT ve službě ServiceNow
• Nastavení defenderu pro IoT pro komunikaci s ServiceNow
• Vytvoření přístupových tokenů ve službě ServiceNow
• Odeslání atributů zařízení Defenderu pro IoT do ServiceNow
• Nastavení integrace pomocí proxy protokolu HTTPS
• Zobrazení detekce Defenderu pro IoT ve službě ServiceNow
• Zobrazení připojených zařízení

Požadavky

Než začnete, ujistěte se, že máte následující požadavky:

Požadavky na software

• Přístup k ServiceNow a Defenderu pro IoT

  • ServiceNow Service Management verze 3.0.2.
  • Defender for IoT patch 2.8.11.1 nebo novější.

• Přístup k senzoru OT Defenderu for IoT jako Správa uživatel Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Poznámka:

Pokud už pracujete s integrací Defenderu pro IoT a ServiceNow a upgradem pomocí místní konzoly pro správu. V takovém případě by předchozí data ze senzorů Defenderu pro IoT měla být vymazána z ServiceNow.

Architektura

• Architektura místní konzoly pro správu: Nastavte místní konzolu pro správu pro komunikaci s jednou instancí ServiceNow. Místní konzola pro správu odesílá data snímačů do aplikace Defender for IoT pomocí rozhraní REST API.

  Pokud chcete nastavit systém pro práci s místní konzolou pro správu, musíte zakázat konfiguraci ServiceNow Sync, Forwarding Rules a Proxy na všech senzorech, ve kterých byly nastavené.

• Architektura senzorů: Pokud chcete nastavit prostředí tak, aby zahrnovalo přímou komunikaci mezi senzory a ServiceNow, pro každý senzor definujte synchronizaci ServiceNow, pravidla předávání a konfiguraci proxy serveru (pokud je potřeba proxy server).

Poznámka:

Integrace starších verzí Defenderu pro IoT bude předávat data pro prostředky a výstrahy, ale nepředá data ohrožení zabezpečení.

Stažení aplikace Defender for IoT ve službě ServiceNow

Pokud chcete získat přístup k aplikaci Defender for IoT v rámci ServiceNow, musíte si aplikaci stáhnout z úložiště aplikací ServiceNow.

Přístup k aplikaci Defender for IoT v ServiceNow:

1. Přejděte do úložiště aplikací ServiceNow.

2. Vyhledejte Defender for IoT nebo CyberX IoT/ICS Management.

3. Vyberte aplikaci .

4. Vyberte Požádat o aplikaci.

5. Přihlaste se a stáhněte si aplikaci.

Nastavení defenderu pro IoT pro komunikaci s ServiceNow

Nakonfigurujte Defender pro IoT tak, aby do tabulek ServiceNow odeslal informace o upozorněních. Výstrahy Defenderu pro IoT se ve službě ServiceNow zobrazují jako incidenty zabezpečení. Můžete to provést definováním pravidla předávání Defenderu pro IoT, které odešle informace o upozornění do ServiceNow.

Pravidla přeposílání upozornění se spouštějí jenom u výstrah aktivovaných po vytvoření pravidla předávání. Upozornění, která už jsou v systému před vytvořením pravidla předávání, nejsou tímto pravidlem ovlivněna.

Odeslání informací o upozornění do tabulek ServiceNow:

1. Přihlaste se k místní konzole pro správu a vyberte Přeposílání.

2. Výběrem + vytvoříte nové pravidlo.

3. V podokně Vytvořit pravidlo předávání definujte následující hodnoty:

   Parametr	Description
   Jméno	Zadejte smysluplný název pravidla pro přeposílání.
   Upozorňující	V rozevírací nabídce vyberte minimální incident na úrovni zabezpečení, který chcete předat dál. Pokud je například vybrána podverze , budou se předávat menší výstrahy a všechny výstrahy nad touto úrovní závažnosti.
   Protokoly	Pokud chcete vybrat konkrétní protokol, vyberte Konkrétní a vyberte protokol, pro který se toto pravidlo použije. Ve výchozím nastavení jsou vybrány všechny protokoly.
   Motory	Pokud chcete vybrat konkrétní modul zabezpečení, pro který se toto pravidlo použije, vyberte Konkrétní a vyberte modul. Ve výchozím nastavení jsou zapojeny všechny bezpečnostní moduly.
   Systémová oznámení	Přeposlat stav senzoru online a offline .
   Oznámení o upozorněních	Přesměrujte upozornění senzoru.

4. V oblasti Akce vyberte Přidat a pak vyberte ServiceNow. Příklad:

   

5. Ověřte, že je vybraná oznámení o upozorněních na sestavu.

6. V podokně Akce nastavte následující parametry:

   Parametr	Popis
   Domény	Zadejte IP adresu serveru ServiceNow.
   Uživatelské jméno	Zadejte uživatelské jméno serveru ServiceNow.
   Heslo	Zadejte heslo serveru ServiceNow.
   ID klienta	Zadejte ID klienta, které jste obdrželi pro Defender for IoT, na stránce Registry aplikací ve službě ServiceNow.
   Tajný klíč klienta	Zadejte tajný řetězec klienta, který jste vytvořili pro Defender for IoT, na stránce Registry aplikací ve službě ServiceNow.
   Vybrat typ sestavy	Incidenty: Přeposílání seznamu výstrah, které se zobrazují ve službě ServiceNow s ID incidentu a krátkým popisem jednotlivých výstrah. Aplikace Defender for IoT: Předávání úplných informací o výstrahách, včetně podrobností o senzoru, modulu, zdrojové a cílové adresy. Informace se předávají defenderu pro IoT v aplikaci ServiceNow.

7. Vyberte ULOŽIT.

Výstrahy Defenderu pro IoT se teď budou zobrazovat jako incidenty ve službě ServiceNow.

Vytvoření přístupových tokenů ve službě ServiceNow

K tomu, aby ServiceNow mohl komunikovat s Defenderem pro IoT, je potřeba token.

Potřebujete Client ID , abyste Client Secret zadali při vytváření pravidel pro předávání IoT Defender for IoT. Pravidla předávání předávají informace o upozornění ServiceNow a při konfiguraci Defenderu pro IoT pro nabízení atributů zařízení do tabulek ServiceNow.

Odeslání atributů zařízení Defenderu pro IoT do ServiceNow

Nakonfigurujte Defender pro IoT tak, aby do tabulek ServiceNow odeslal širokou škálu atributů zařízení. Pokud chcete odesílat atributy do ServiceNow, musíte místní konzolu pro správu namapovat na instanci ServiceNow. Tím zajistíte, že platforma Defender for IoT může komunikovat a ověřovat s instancí.

Přidání instance ServiceNow:

1. Přihlaste se k místní konzole pro správu Defenderu for IoT.

2. V části Integrace konzoly pro správu vyberte systém Nastavení a pak ServiceNow.

3. Do dialogového okna Synchronizace ServiceNow zadejte následující parametry synchronizace.

   

   Parametr	Popis
   Povolit synchronizaci	Po definování parametrů synchronizaci povolte a zakažte.
   Frekvence synchronizace (minuty)	Ve výchozím nastavení se informace do ServiceNow odsílají každých 60 minut. Minimum je 5 minut.
   ServiceNow Instance	Zadejte adresu URL instance ServiceNow.
   ID klienta	Zadejte ID klienta, které jste obdrželi pro Defender for IoT, na stránce Registry aplikací ve službě ServiceNow.
   Tajný klíč klienta	Zadejte řetězec tajného klíče klienta, který jste vytvořili pro Defender for IoT, na stránce Registry aplikací v ServiceNow.
   Uživatelské jméno	Zadejte uživatelské jméno pro tuto instanci.
   Heslo	Zadejte heslo pro tuto instanci.

4. Vyberte ULOŽIT.

Zkontrolujte datum poslední synchronizace a ověřte, že je místní konzola pro správu připojená k instanci ServiceNow.

Nastavení integrací pomocí proxy protokolu HTTPS

Při nastavování integrace Defenderu pro IoT a ServiceNow komunikují místní konzola pro správu a server ServiceNow pomocí portu 443. Pokud je server ServiceNow za proxy serverem, výchozí port se nedá použít.

Defender pro IoT podporuje proxy https v integraci ServiceNow povolením změny výchozího portu používaného pro integraci.

Konfigurace proxy serveru:

1. Pomocí následujícího příkazu upravte globální vlastnosti v místní konzole pro správu:

   sudo vim /var/cyberx/properties/global.properties
   

2. Přidejte následující parametry:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. Vyberte Uložit a ukončit.

4. Pomocí následujícího příkazu resetujte místní konzolu pro správu:

   sudo monit restart all
   

Po nastavení konfigurací se všechna data ServiceNow předávají pomocí nakonfigurovaného proxy serveru.

Zobrazení detekce Defenderu pro IoT ve službě ServiceNow

Tento článek popisuje atributy zařízení a informace o upozorněních prezentovaných ve službě ServiceNow.

Zobrazení atributů zařízení:

1. Přihlaste se k ServiceNow.

2. Přejděte na CyberX Platform.

3. Přejděte do inventáře nebo výstrahy.

Zobrazení připojených zařízení

Zobrazení připojených zařízení:

1. Vyberte zařízení a pak vyberte zařízení uvedené v tomto zařízení.

2. V dialogovém okně Podrobnosti o zařízení vyberte Připojení ed Devices (Zařízení).

Další kroky

Integrace s Microsoftem a partnerskými službami