ServiceNow SIR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

В современном быстро развивающемся ландшафте угроз организации нуждаются в передовых решениях по обеспечению безопасности, сочетающих аналитику на основе ИИ с возможностями автоматического реагирования. Интеграция между ServiceNow реагированием на инциденты безопасности (SIR) и Microsoft Security Copilot переопределяет операции безопасности, обеспечивая динамическое принятие решений, аналитические сведения в режиме реального времени и возможности автономного реагирования. Реализовав это решение, организации могут повысить уровень безопасности, снизить кибер-риски и оптимизировать операции по обеспечению безопасности в будущем.

ServiceNow реагирование на инциденты безопасности и Microsoft Security Copilot в действии!

Для эффективной интеграции ServiceNow реагирования на инциденты безопасности с Microsoft Security Copilot, включив автономные операции безопасности на основе ИИ, которые повышают обнаружение угроз, ускоряют реагирование на инциденты и повышают общую устойчивость кибербезопасности за счет интеллектуального взаимодействия ИИ с ИИ.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Scope

1. Обогащение инцидентов в SIR с помощью аналитики угроз и сведений о пользователях и устройствах, чтобы получить контекстную осведомленность об устранении инцидентов
2. Предоставление сведений об инциденте безопасности из SIR, а также связанных аналитических сведений о пользователях и устройствах из CMDB в Майкрософт

Ценностное предложение

1. Ускоренное исследование и реагирование. Анализ угроз с помощью аналитических сведений с помощью ИИ и быстрый переход к исправлению с помощью контекстной аналитики
2. Улучшенная операционная эффективность: сокращение среднего времени на разрешение (MTTR) с помощью поддержки искусственного интеллекта на естественном языке
3. Более высокий уровень безопасности. Используйте аналитику угроз с помощью искусственного интеллекта для упреждающего выявления и снижения рисков перед их эскалацией.

Подход к интеграции

1. Обмен данными между SIR и Microsoft Security Copilot.
2. Клиенты смогут запрашивать быстрые запросы на ServiceNow Теперь в группе поддержки по сведениям об угрозах intel, пользователей и устройств от корпорации Майкрософт.
3. Аналогичным образом клиенты смогут запрашивать сводку инцидентов безопасности вместе с связанными аналитическими сведениями о пользователях и устройствах из CMDB в microsoft security copilot

Перед началом работы

Регистрация приложения в ServiceNow

1. Перейдите в раздел System oAuth > Application Registry > New > Create an OAuth API endpoint for external clients (Создание конечной точки API OAuth для внешних клиентов).
2. Задайте имя: Microsoft Security Copilot ServiceNowSIR.
3. Задайте URL-адрес перенаправления: https://securitycopilot.microsoft.com/auth/v1/callback.
4. Нажмите Отправить.

Настройка подключаемого модуля ServiceNowSIR в Microsoft Security Copilot

1. Задайте URL-адрес экземпляра ServiceNow.
2. Задайте ClientId и ClientSecret , созданные в предыдущем разделе.
3. Задайте AuthorizationEndpoint и TokenEndpoint.

Примеры запросов ServiceNowSIR

После настройки ServiceNowSIR его можно использовать, выполнив одно из следующих действий.

Навык	Входные данные	Пример Запросы
Получение сведений об инциденте безопасности	номер инцидента безопасности (обязательный)	Загрузка ServiceNow инцидентов безопасности SIR0001624 Получите ServiceNow описание и краткое описание инцидента безопасности SIR0001624
Получение сводных данных об инцидентах безопасности	номер инцидента безопасности (обязательный)	Получение SIR0001624 сводки по инцидентам безопасности ServiceNow
Получение аналитических сведений о корреляции для инцидента безопасности	номер инцидента безопасности (обязательный) variable (обязательный) name (обязательно) lookback_period (необязательно)	Получение ServiceNow инцидентов безопасности SIR0010081 корреляции с помощью cmdb_ci переменных, имени DatabaseServer2 и lookback_period=365 Получение ServiceNow сведений об инцидентах безопасности SIR0010081 корреляции с помощью affected_user переменных, имя Алиса Браун и lookback_period=365 Получение сведений об инцидентах безопасности SIR0010081 корреляции ServiceNow с помощью переменных threat_intelligence и имени https://keyloggerapp.xxx.com и lookback_period=365
Получение пользователя по имени	name (обязательно)	Получение ServiceNow пользователя Алиса Брауна Получение отдела и расположения пользователя ServiceNow Алиса Брауна
Получение CI CMDB по имени	name (обязательно)	Получение элемента конфигурации ServiceNow DatabaseServer2 Получение ServiceNow бизнес-единице элемента конфигурации DatabaseServer2 Получение ServiceNow расположения и производителя элемента конфигурации DatabaseServer2

Устранение неполадок с подключаемым модулем ServiceNowSIR

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка, убедитесь, что подключаемый модуль включен. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули с функциональностью, аналогичной набору возможностей, который вы хотите использовать. Вы можете либо использовать имя продукта ServiceNowSIR в запросах, либо ввести имя конкретной возможности, например <> .

Предоставление отзывов

Чтобы оставить отзыв, обратитесь к управлению продуктами ServiceNowSIR.