Integrieren von ServiceNow in Microsoft Defender for IoT (Legacy)
Hinweis
Eine neue Integration für operative Führungskräfte für Technologie ist jetzt im ServiceNow-Store verfügbar. Die neue Integration optimiert Microsoft Defender für IoT-Sensorgeräte, OT-Ressourcen, Netzwerkverbindungen und Sicherheitsrisiken für das ServiceNow-Datenmodell Operational Technology (OT). Überprüfen Sie die Softwareversion, da aktuellere Versionen dieser Software möglicherweise auf der ServiceNow-Website verfügbar sind.
Informationen zu den ServiceNow-Nutzungsbedingungen finden Sie in den unterstützenden Links und Dokumentationen von ServiceNow.
Die Legacy-Integration von Microsoft Defender für IoT in ServiceNow ist von den neuen Integrationen nicht betroffen, und Microsoft unterstützt sie weiterhin.
Weitere Informationen finden Sie in den neuen ServiceNow-Integrationen und in der ServiceNow-Dokumentation im ServiceNow-Store:
In diesem Artikel erfahren Sie, wie Sie ServiceNow in Microsoft Defender for IoT integrieren und nutzen.
Die Defender for IoT-Integration in ServiceNow stellt eine zentralisierte Sichtbarkeit, Überwachung und Steuerung für die IoT- und OT-Landschaft bereit. Diese überbrückten Plattformen ermöglichen eine automatisierte Gerätesichtbarkeit und Bedrohungsverwaltung von bislang nicht erreichbaren ICS- und IoT-Geräten.
Die ServiceNow-Konfigurationsverwaltungsdatenbank (Configuration Management Database, CMDB) wird durch einen umfangreichen Satz von Geräteattributen angereichert und ergänzt, die von der Defender für IoT-Plattform gepusht werden. Damit werden umfassende und kontinuierliche Einblicke in die Gerätelandschaft sichergestellt. So können Sie über eine zentrale Benutzeroberfläche die Überwachung und Reaktion steuern.
Hinweis
Microsoft Defender for IoT wurde offiziell als CyberX bezeichnet. Verweise auf CyberX beziehen sich auf Azure Defender for IoT.
In diesem Artikel werden folgende Vorgehensweisen behandelt:
- Herunterladen der Defender für IoT-Anwendung in ServiceNow
- Einrichten von Defender für IoT für die Kommunikation mit ServiceNow
- Erstellen von Zugriffstoken in ServiceNow
- Senden von Defender für IoT-Geräteattributen an ServiceNow
- Einrichten der Integration mithilfe eines HTTPS-Proxys
- Anzeigen von Defender für IoT-Erkennungen in ServiceNow
- Anzeigen verbundener Geräte
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:
Softwareanforderungen
Zugriff auf ServiceNow und Defender für IoT
- ServiceNow Service Management Version 3.0.2
- Defender für IoT, Patch 2.8.11.1 oder höher
Zugriff auf einen Defender for IoT OT-Sensor als Admin-Benutzer. Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT.
Hinweis
Wenn Sie Defender für IoT bereits mit ServiceNow integriert haben und über die lokale Verwaltungskonsole ein Upgrade durchführen, sollten frühere Daten, die von Defender für IoT-Sensoren empfangen wurden, in ServiceNow gelöscht werden.
Architektur
Architektur der lokalen Verwaltungskonsole: Richten Sie eine lokale Verwaltungskonsole für die Kommunikation mit einer ServiceNow-Instanz ein. Die lokale Verwaltungskonsole überträgt Sensordaten über die REST-API an die Defender für IoT-Anwendung.
Um Ihr System zur Verwendung einer lokalen Verwaltungskonsole einzurichten, müssen Sie die ServiceNow-Synchronisierung, Weiterleitungsregeln und Proxykonfigurationen in Sensoren deaktivieren, falls sie eingerichtet wurden.
Sensorarchitektur: Wenn Sie Ihre Umgebung so einrichten möchten, dass sie eine direkte Kommunikation zwischen Sensoren und ServiceNow beinhaltet, definieren Sie für jeden Sensor die ServiceNow-Synchronisierung, Weiterleitungsregeln und die Proxykonfiguration (wenn ein Proxy erforderlich ist).
Hinweis
Die Integration für ältere Versionen von Defender für IoT übergibt Daten für Ressourcen und Warnungen, übergibt jedoch keine Sicherheitsrisikodaten.
Herunterladen der Defender für IoT-Anwendung in ServiceNow
Für den Zugriff auf die Defender for IoT-Anwendung in ServiceNow müssen Sie die Anwendung aus dem ServiceNow-App-Store herunterladen.
So greifen Sie in ServiceNow auf die Defender für IoT-Anwendung zu
Navigieren Sie zum ServiceNow-App-Store.
Suchen Sie nach
Defender for IoToderCyberX IoT/ICS Management.Wählen Sie die Anwendung aus.
Wählen Sie Request App (App anfordern) aus.
Melden Sie sich an, und laden Sie die Anwendung herunter.
Einrichten von Defender für IoT für die Kommunikation mit ServiceNow
Konfigurieren Sie Defender für IoT zur Übertragung von Warnungsinformationen an die ServiceNow-Tabellen. Defender for IoT-Warnungen werden in ServiceNow als Sicherheitsvorfälle angezeigt. Dazu können Sie eine Weiterleitungsregel in Defender für IoT definieren, um Warnungsinformationen an ServiceNow zu senden.
Weiterleitungswarnungsregeln werden nur für Warnungen ausgeführt, die nach dem Erstellen der Weiterleitungsregel ausgelöst werden. Alarme, die sich bereits im System befinden, bevor die Weiterleitungsregel erstellt wurde, sind von der Regel nicht betroffen.
So pushen Sie Warnungsinformationen an die ServiceNow-Tabellen
Melden Sie sich bei der lokalen Verwaltungskonsole an, und wählen Sie Weiterleitung aus.
Wählen Sie + aus, um eine neue Regel zu erstellen.
Definieren Sie im Bereich Weiterleitungsregel erstellen die folgenden Werte:
Parameter Beschreibung Name Geben Sie einen aussagekräftigen Namen für die Weiterleitungsregel ein. Warning Wählen Sie im Dropdownmenü den Mindestschweregrad für die Weiterleitung von Vorfällen aus.
Wenn z. B. Gering ausgewählt ist, werden Warnungen mit einem geringen Schweregrad und alle Warnungen mit höheren Schweregraden weitergeleitet.Protokolle Wenn Sie ein bestimmtes Protokoll angeben möchten, wählen Sie Spezifisch und dann das Protokoll aus, auf das diese Regel angewendet wird.
Standardmäßig sind alle Protokolle ausgewählt.Engines Wenn Sie eine bestimmte Sicherheits-Engine auswählen möchten, auf die diese Regel angewendet wird, wählen Sie Spezifisch und dann die Engine aus.
Standardmäßig werden alle Sicherheits-Engines verwendet.Systembenachrichtigungen Leiten Sie den Online- und Offline-Status des Sensors weiter. Warnungsbenachrichtigungen Leiten Sie die Warnungen des Sensors weiter. Wählen Sie im Bereich Aktionen die Option Hinzufügen und dann ServiceNow aus. Beispiel:
Vergewissern Sie sich, dass Report Alert Notifications (Warnungen melden) ausgewählt ist.
Legen Sie im Bereich Aktionen die folgenden Parameter fest:
Parameter Beschreibung Domäne Geben Sie die IP-Adresse des ServiceNow-Servers ein. Benutzername Geben Sie den Benutzernamen für den ServiceNow-Server ein. Kennwort Geben Sie das Kennwort für den ServiceNow-Server ein. Client-ID Geben Sie die Client-ID ein, die Sie für Defender für IoT auf der Seite Application Registries (Anwendungsregistrierungen) in ServiceNow erhalten haben. Geheimer Clientschlüssel Geben Sie den geheimen Clientschlüssel ein, den Sie für Defender für IoT auf der Seite Application Registries (Anwendungsregistrierungen) in ServiceNow erstellt haben. Berichtstyp auswählen Vorfälle: Weiterleiten einer Liste von Warnungen, die in ServiceNow angezeigt werden, mit der Vorfall-ID und einer kurzen Beschreibung der einzelnen Warnungen.
Defender für IoT-Anwendung: Weiterleiten der vollständigen Warnungsinformationen, einschließlich Sensordetails, Engine, Quell- und Zieladresse. Die Informationen werden an Defender für IoT in der ServiceNow-Anwendung weitergeleitet.Wählen Sie SAVE (SPEICHERN) aus.
Defender für IoT-Warnungen werden nun in ServiceNow als Vorfälle angezeigt.
Erstellen von Zugriffstoken in ServiceNow
Damit ServiceNow mit Defender für IoT kommunizieren kann, ist ein Token erforderlich.
Sie benötigen die Client ID und das Client Secret, die Sie beim Erstellen der Defender for IoT-Weiterleitungsregeln eingegeben haben. Über die Weiterleitungsregeln werden die Warnungsinformationen an ServiceNow weitergeleitet. Außerdem benötigen Sie diese Daten beim Konfigurieren von Defender für IoT zum Pushen von Geräteattributen an ServiceNow-Tabellen.
Senden von Defender für IoT-Geräteattributen an ServiceNow
Sie konfigurieren Defender für IoT zur Übertragung von umfangreichen Geräteattributen an ServiceNow-Tabellen. Zum Senden von Attributen an ServiceNow müssen Sie die lokale Verwaltungskonsole einer ServiceNow-Instanz zuordnen. Dadurch wird die Kommunikation und Authentifizierung der Defender für IoT-Plattform mit dieser Instanz sichergestellt.
So fügen Sie eine ServiceNow-Instanz hinzu
Melden Sie sich bei der lokalen Verwaltungskonsole von Defender für IoT an.
Wählen Sie im Abschnitt Integrationen der VerwaltungskonsoleSystemeinstellungen und dann ServiceNow aus.
Geben Sie im Dialogfeld „ServiceNow Sync“ (ServiceNow-Synchronisierung) die folgenden Synchronisierungsparameter ein.
Parameter BESCHREIBUNG Enable Sync (Synchronisierung aktivieren) Aktivieren und deaktivieren Sie die Synchronisierung nach dem Definieren von Parametern. Synchronisierungshäufigkeit (Minuten) Standardmäßig werden die Informationen alle 60 Minuten an ServiceNow übermittelt. Der Mindestwert ist 5 Minuten. ServiceNow-Instanz Geben Sie die URL der ServiceNow-Instanz ein. Client-ID Geben Sie die Client-ID ein, die Sie für Defender für IoT auf der Seite Application Registries (Anwendungsregistrierungen) in ServiceNow erhalten haben. Geheimer Clientschlüssel Geben Sie den geheimen Clientschlüssel ein, den Sie für Defender für IoT auf der Seite Application Registries (Anwendungsregistrierungen) in ServiceNow erstellt haben. Benutzername Geben Sie den Benutzernamen für die Instanz ein. Kennwort Geben Sie das Kennwort für die Instanz ein. Wählen Sie SAVE (SPEICHERN) aus.
Vergewissern Sie sich, dass die lokale Verwaltungskonsole mit der ServiceNow-Instanz verbunden ist, indem Sie das Datum für Letzte Synchronisierung überprüfen.
Einrichten der Integrationen mithilfe eines HTTPS-Proxys
Beim Einrichten der Integration von Defender für IoT und ServiceNow erfolgt die Kommunikation zwischen der lokalen Verwaltungskonsole und dem ServiceNow-Server über Port 443. Wenn sich der ServiceNow-Server hinter einem Proxy befindet, kann der Standardport nicht verwendet werden.
Defender für IoT unterstützt einen HTTPS-Proxy in der ServiceNow-Integration durch die Änderung des für die Integration verwendeten Standardports.
So konfigurieren Sie den Proxy
Bearbeiten Sie die globalen Eigenschaften in der lokalen Verwaltungskonsole mithilfe des folgenden Befehls:
sudo vim /var/cyberx/properties/global.propertiesFügen Sie die folgenden Parameter hinzu:
servicenow.http_proxy.enabled=1servicenow.http_proxy.ip=1.179.148.9servicenow.http_proxy.port=59125
Wählen Sie dann Speichern und beenden aus.
Setzen Sie die lokale Verwaltungskonsole mit dem folgenden Befehl zurück:
sudo monit restart all
Nach der Festlegung der Konfiguration werden alle ServiceNow-Daten mithilfe des konfigurierten Proxys weitergeleitet.
Anzeigen von Defender für IoT-Erkennungen in ServiceNow
In diesem Artikel werden die in ServiceNow angezeigten Geräteattribute und Warnungsinformationen beschrieben.
So zeigen Sie Geräteattribute an
Melden Sie sich bei ServiceNow an.
Navigieren Sie zu CyberX Platform (CyberX-Plattform).
Navigieren Sie zu Inventory (Bestand) oder Alert (Warnung).
Anzeigen verbundener Geräte
So zeigen Sie verbundene Geräte an
Wählen Sie ein Gerät und dann die für das Gerät aufgelistete Appliance aus.
Wählen Sie im Dialogfeld Device Details (Gerätedetails) die Option Connected Devices (Verbundene Geräte) aus.