Integración de ServiceNow con Microsoft Defender para IoT (heredado)

  • Artículo

Nota

Una nueva integración de Administrador de tecnología operativo ya está disponible en la tienda ServiceNow. La nueva integración simplifica los dispositivos de sensor de Microsoft Defender para IoT, los recursos de OT, las conexiones de red y las vulnerabilidades del modelo de datos de tecnología operativa (OT) de ServiceNow. Compruebe la versión del software, ya que es posible que haya versiones más actualizadas de este software disponibles en el sitio de ServiceNow.

Lea los vínculos y la documentación de soporte técnico de ServiceNow para ver los términos de servicio de ServiceNow.

La integración heredada de Microsoft Defender para IoT con ServiceNow no se ve afectada por las nuevas integraciones y Microsoft seguirá admitiéndolo.

Para más información, consulte las nuevas integraciones de ServiceNow y la documentación de ServiceNow en el almacén de ServiceNow:

Este artículo proporciona información sobre cómo integrar y usar ServiceNow con Microsoft Defender para IoT.

La integración de Defender para IoT con ServiceNow proporciona visibilidad, supervisión y control centralizados para el panorama de IoT y OT. Estas plataformas puente permiten la visibilidad y la administración de amenazas automatizadas en dispositivos ICS e IoT a los que anteriormente no se podía acceder.

La base de datos de administración de configuración de ServiceNow (CMDB) se enriquece y complementa con un amplio conjunto de atributos de dispositivo insertados por la plataforma de Defender para IoT. Esto garantiza una visibilidad completa y continua del panorama de los dispositivos. Esta visibilidad le permite supervisar y responder desde un solo panel.

Nota

Microsoft Defender para IoT se conocía formalmente como CyberX. Las referencias a CyberX se refieren a Defender para IoT.

En este artículo aprenderá a:

  • Descargar la aplicación Defender para IoT en ServiceNow
  • Configuración de Defender para IoT para que se comunique con ServiceNow
  • Creación de tokens de acceso en ServiceNow
  • Enviar atributos de dispositivo de Defender para IoT a ServiceNow
  • Configurar la integración mediante un proxy HTTPS
  • Visualización de las detecciones de Defender para IoT en ServiceNow
  • Ver los dispositivos conectados

Prerrequisitos

Asegúrese de que cumple los siguientes requisitos previos antes de empezar:

Requisitos de software

Nota

Si ya trabaja con una integración de Defender for IoT y ServiceNow y actualiza mediante la consola de administración local, los datos anteriores de los sensores de Defender para IoT deben borrarse de ServiceNow.

Architecture

  • Arquitectura de la consola de administración local: puede configurar una consola de administración local para que se comunique con una instancia de ServiceNow. La consola de administración local inserta datos de los sensores a la aplicación Defender para IoT mediante la API REST.

    Para configurar su sistema para que funcione con una consola de administración local, tiene que deshabilitar la sincronización de ServiceNow, las reglas de reenvío y la configuración del proxy de todos los sensores en los que se hayan configurado.

  • Arquitectura de sensores: si desea configurar el entorno para incluir la comunicación directa entre los sensores y ServiceNow, defina la sincronización de ServiceNow, las reglas de reenvío y la configuración del proxy (si se necesita un proxy) para cada sensor.

Nota:

La integración de versiones heredadas de Defender para IoT pasará datos para recursos y alertas, pero no pasará datos de vulnerabilidades.

Descargar la aplicación Defender para IoT en ServiceNow

Para acceder a la aplicación de Defender para IoT en ServiceNow, debe descargar la aplicación desde el almacén de aplicaciones de ServiceNow.

Para acceder a la aplicación Defender para IoT en ServiceNow:

  1. Vaya al almacén de aplicaciones de ServiceNow.

  2. Busque Defender for IoT o CyberX IoT/ICS Management.

  3. Seleccione la aplicación.

  4. Seleccione Request App (Solicitar aplicación).

  5. Inicie sesión y descargue la aplicación.

Configuración de Defender para IoT para que se comunique con ServiceNow

Configure Defender para IoT para insertar información de alertas en las tablas de ServiceNow. Las alertas de Defender para IoT aparecen en ServiceNow como incidentes de seguridad. Esto puede hacerse definiendo una regla de reenvío de Defender para IoT para enviar información de alerta a ServiceNow.

Las reglas de alertas de reenvío solo se ejecutan en las alertas desencadenadas después de crear la regla de reenvío. Las alertas que ya están en el sistema desde antes de que se creara la regla de reenvío no se ven afectadas por la regla.

Para insertar información de alerta en las tablas de ServiceNow:

  1. Inicie sesión en la consola de administración local y seleccione Reenvío.

  2. Seleccione + para crear una nueva regla.

  3. En el panel Crear regla de reenvío, defina los valores siguientes:

    Parámetro Descripción
    Nombre Especifique un nombre descriptivo para la alerta de reenvío.
    Warning (ADVERTENCIA) En el menú desplegable, seleccione el incidente de nivel de seguridad mínimo que desea reenviar.
    Por ejemplo, si se selecciona Minor (Leve), se reenviarán no solo las alertas leves, sino también todas las aquellas con un nivel de gravedad superior.
    Protocolos Para seleccionar un protocolo concreto, elija Específico y seleccione el protocolo al que se aplica esta regla.
    De forma predeterminada, se seleccionan todos los protocolos.
    Engines (Motores) Para seleccionar un motor de seguridad concreto al que se aplica esta regla, seleccione Específico y elija el motor.
    De forma predeterminada, intervienen todos los motores de seguridad.
    Notificaciones del sistema Reenvíe el estado en línea o desconectado del sensor.
    Notificaciones de alertas Reenvíe las alertas del sensor.

  4. En el área Acciones, seleccione Agregar y, después, ServiceNow. Por ejemplo:

    Captura de pantalla de la ventana para crear regla de reenvío.

  5. Compruebe que la casilla Report Alert Notifications (Informar de notificaciones de alertas) está seleccionada.

  6. En el panel Actions (Acciones), establezca los parámetros siguientes:

    Parámetro Descripción
    Dominio Escriba la dirección IP del servidor de ServiceNow.
    Nombre de usuario Escriba el nombre de usuario del servidor de ServiceNow.
    Contraseña Escriba la contraseña del servidor de ServiceNow.
    Id. de cliente Escriba el identificador de cliente que ha recibido para Defender para IoT en la página Application Registries (Registros de aplicación) de ServiceNow.
    Secreto de cliente Escriba el secreto de cliente que ha creado para Defender para IoT en la página Application Registries (Registros de aplicación) de ServiceNow.
    Seleccionar el tipo de informe Incidents (Incidentes): reenvíe una lista de alertas que se presentan en ServiceNow con un identificador de incidente y una breve descripción de cada alerta.

    Aplicación Defender for IoT: reenvíe la información de alerta completa, lo que incluye los detalles del sensor, el motor y las direcciones de origen y destino. La información se reenvía a Defender para IoT en la aplicación de ServiceNow.

  7. Seleccione SAVE (GUARDAR).

Las alertas de Defender para IoT ahora aparecerán en ServiceNow como incidentes.

Creación de tokens de acceso en ServiceNow

Se necesita un token para permitir que ServiceNow se comunique con Defender para IoT.

Necesita Client ID y Client Secret que escribió al crear las reglas de reenvío de Defender para IoT. Las reglas de reenvío de Defender para IoT reenvían información de las alertas a ServiceNow, como al configurar Defender para IoT para que inserte los atributos de dispositivo en las tablas de ServiceNow.

Enviar atributos de dispositivo de Defender para IoT a ServiceNow

Configure Defender para IoT para insertar una amplia variedad de atributos de dispositivo en las tablas de ServiceNow. Para enviar atributos a ServiceNow, debe asignar la consola de administración local a una instancia de ServiceNow. De esta forma tiene la certeza de que la plataforma de Defender para IoT se puede comunicar con la instancia y autenticarla.

Para agregar una instancia de ServiceNow:

  1. Inicie sesión en la consola de administración local de Azure Defender para IoT.

  2. Seleccione Configuración del sistema y, después, ServiceNow en la sección Integraciones de la consola de administración.

  3. Escriba los siguientes parámetros de sincronización en el cuadro de diálogo ServiceNow Sync (Sincronización de ServiceNow).

    Captura de pantalla del cuadro de diálogo de sincronización de ServiceNow.

    Parámetro Descripción
    Enable Sync (Habilitar sincronización) Habilite y deshabilite la sincronización después de definir los parámetros.
    Sync Frequency (minutes) [Frecuencia de sincronización (minutos)] De forma predeterminada, la información se inserta en ServiceNow cada 60 minutos. El mínimo es de 5 minutos.
    Instancia de ServiceNow Escriba la dirección URL de la instancia de ServiceNow.
    Id. de cliente Escriba el identificador de cliente que ha recibido para Defender para IoT en la página Application Registries (Registros de aplicación) de ServiceNow.
    Secreto de cliente Escriba la cadena de secreto de cliente que ha creado para Defender para IoT en la página Application Registries (Registros de aplicación) de ServiceNow.
    Nombre de usuario Escriba el nombre de usuario de esta instancia.
    Contraseña Especifique la contraseña de esta instancia.

  4. Seleccione SAVE (GUARDAR).

Compruebe que la consola de administración local está conectada a la instancia de ServiceNow. Para ello, debe mirar la fecha de Last Sync (Última sincronización).

Captura de pantalla de la comunicación que se produce al mirar la última sincronización.

Configuración de las integraciones mediante un proxy HTTPS

Cuando se configura la integración de Defender para IoT y ServiceNow, la consola de administración local y el servidor de ServiceNow se comunican mediante el puerto 443. Si el servidor de ServiceNow está detrás de un proxy, no se puede usar el puerto predeterminado.

Para que Defender para IoT admita un proxy HTTPS en la integración con ServiceNow, es preciso habilitar el cambio del puerto predeterminado que se usa para la integración.

Para configurar el proxy:

  1. Edite las propiedades globales en la consola de administración local con el siguiente comando:

    sudo vim /var/cyberx/properties/global.properties

  2. Agregue los siguientes parámetros:

    • servicenow.http_proxy.enabled=1

    • servicenow.http_proxy.ip=1.179.148.9

    • servicenow.http_proxy.port=59125

  3. Seleccione Guardar y salir.

  4. Restablezca las propiedades globales en la consola de administración local con el siguiente comando:

    sudo monit restart all

Después de la configuración, todos los datos de ServiceNow se reenvían mediante el proxy configurado.

Visualización de las detecciones de Defender para IoT en ServiceNow

En este artículo se describen los atributos de dispositivo y la información de alertas que se presenta en ServiceNow.

Para ver los atributos de dispositivo:

  1. Inicie sesión en ServiceNow.

  2. Vaya a la plataforma de CyberX.

  3. Vaya a Inventory (Inventario) o a Alert (Alerta).

Ver los dispositivos conectados

Para ver los dispositivos conectados:

  1. Seleccione un dispositivo y, después, seleccione la aplicación que se muestra para ese dispositivo.

  2. En el cuadro de diálogo Device Details (Detalles del dispositivo), seleccione Connected Devices (Dispositivos conectados).

Pasos siguientes

Integraciones con servicios de Microsoft y asociados