Microsoft Defender for IoT(레거시)와 ServiceNow 통합

참고 항목

이제 ServiceNow 스토어에서 새 운영 기술 관리자 통합을 사용할 수 있습니다. 새로운 통합은 ServiceNow의 OT(운영 기술) 데이터 모델에 대한 Microsoft Defender for IoT 센서 어플라이언스, OT 자산, 네트워크 연결 및 취약성을 간소화합니다. 이 소프트웨어의 최신 버전은 ServiceNow 사이트에서 사용할 수 있으므로 소프트웨어 버전을 확인하세요.

ServiceNow의 서비스 약관에 대한 ServiceNow의 지원 링크 및 문서를 읽어보세요.

Microsoft Defender for IoT와 ServiceNow의 레거시 통합은 새 통합의 영향을 받지 않으며 Microsoft는 계속해서 지원합니다.

자세한 내용은 새 ServiceNow 통합 및 ServiceNow 저장소의 ServiceNow 설명서를 참조하세요.

• SGC(서비스 그래프 커넥터)
• VR(취약성 대응).

이 문서에서는 IoT용 Microsoft Defender와 ServiceNow를 통합하고 사용하는 방법을 알아봅니다.

ServiceNow와 Defender for IoT 통합은 IoT 및 OT 지형에 대한 중앙 집중식 가시성, 모니터링 및 제어를 제공합니다. 이러한 브리지 플랫폼은 이전에 연결할 수 없었던 ICS 및 IoT 디바이스에 대한 자동화된 디바이스 가시성 및 위협 관리를 가능하게 합니다.

ServiceNow CMDB(구성 관리 데이터베이스)는 Defender for IoT 플랫폼에서 푸시하는 다양한 디바이스 특성 세트를 사용하여 보강되고 보완됩니다. 이렇게 하면 디바이스 지형에 대한 포괄적이고 지속적인 가시성이 보장됩니다. 이러한 가시성을 통해 단일 창에서 모니터링하고 응답할 수 있습니다.

참고 항목

Microsoft Defender for IoT는 공식적으로 CyberX로 알려져 있습니다. CyberX에 대한 참조는 Defender for IoT를 확인하세요.

이 문서에서는 다음 방법을 설명합니다.

• ServiceNow에서 Defender for IoT 애플리케이션 다운로드
• ServiceNow와 통신하도록 Defender for IoT 설정
• ServiceNow에서 액세스 토큰 만들기
• Defender for IoT 디바이스 특성을 ServiceNow에 보내기
• HTTPS 프록시를 사용하여 통합 설정
• ServiceNow에서 Defender for IoT 검색 보기
• 연결된 디바이스 보기

필수 조건

시작하기 전에 다음 필수 조건을 갖추고 있는지 확인합니다.

소프트웨어 요구 사항

• ServiceNow 및 Defender for IoT에 대한 액세스

  • ServiceNow Service Management 버전 3.0.2
  • Defender for IoT 패치 2.8.11.1 이상

• Defender for IoT OT 센서에 관리 사용자로 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

참고 항목

이미 Defender for IoT와 ServiceNow 통합을 사용하고 온-프레미스 관리 콘솔을 사용하여 업그레이드하는 경우 이 경우 Defender for IoT 센서의 이전 데이터를 ServiceNow에서 지워야 합니다.

아키텍처

• 온-프레미스 관리 콘솔 아키텍처: ServiceNow의 한 인스턴스와 통신하도록 온-프레미스 관리 콘솔 설정합니다. 온-프레미스 관리 콘솔 REST API를 사용하여 Defender for IoT 애플리케이션에 센서 데이터를 푸시합니다.

  온-프레미스 관리 콘솔 사용하도록 시스템을 설정하려면 설정된 센서에서 ServiceNow 동기화, 전달 규칙 및 프록시 구성을 사용하지 않도록 설정해야 합니다.

• 센서 아키텍처: 센서와 ServiceNow 간의 직접 통신을 포함하도록 환경을 설정하려는 경우 각 센서에 대해 ServiceNow 동기화, 전달 규칙 및 프록시 구성(프록시가 필요한 경우)을 정의합니다.

참고 항목

레거시 버전의 Defender for IoT에 대한 통합은 자산 및 경고에 대한 데이터를 전달하지만 취약성 데이터는 전달하지 않습니다.

ServiceNow에서 Defender for IoT 애플리케이션 다운로드

ServiceNow 내에서 Defender for IoT 애플리케이션에 액세스하려면 ServiceNow 애플리케이션 저장소에서 애플리케이션을 다운로드해야 합니다.

ServiceNow에서 Defender for IoT 애플리케이션에 액세스하려면 다음을 수행합니다.

1. ServiceNow 애플리케이션 저장소로 이동합니다.

2. Defender for IoT 검색 또는 CyberX IoT/ICS Management.

3. 애플리케이션을 선택합니다.

4. 요청 앱을 선택합니다.

5. 로그인하고 애플리케이션을 다운로드합니다.

ServiceNow와 통신하도록 Defender for IoT 설정

이 문서에서는 경고 정보를 ServiceNow 테이블에 푸시하도록 Defender for IoT를 구성합니다. Defender for IoT 경고는 ServiceNow에 보안 인시던트로 표시됩니다. 이 작업은 ServiceNow에 경고 정보를 보내는 Defender for IoT 전달 규칙을 정의하여 수행할 수 있습니다.

전달 경고 규칙은 전달 규칙이 만들어진 후 트리거된 경고에서만 실행됩니다. 전달 규칙이 만들어지기 전에 이미 시스템에 있는 경고는 규칙의 영향을 받지 않습니다.

경고 정보를 ServiceNow 테이블에 푸시하려면:

1. 온-프레미스 관리 콘솔 로그인하고 전달을 선택합니다.

2. 새 규칙을 만들려면 선택합니다 + .

3. 전달 규칙 만들기 창에서 다음 값을 정의합니다.

   매개 변수	Description
   이름	전달 규칙의 의미 있는 이름을 입력합니다.
   경고	드롭다운 메뉴에서 전달할 최소 보안 수준 인시던트를 선택합니다. 예를 들어 Minor를 선택하면 사소한 경고 및 이 심각도 수준 이상의 모든 경고가 전달됩니다.
   프로토콜	특정 프로토콜을 선택하려면 특정을 선택하고 이 규칙이 적용되는 프로토콜을 선택합니다. 기본적으로 모든 프로토콜이 선택됩니다.
   엔진	이 규칙이 적용되는 특정 보안 엔진을 선택하려면 [특정]을 선택하고 엔진을 선택합니다. 기본적으로 모든 보안 엔진이 관련됩니다.
   시스템 알림	센서의 온라인 및 오프라인 상태 전달합니다.
   경고 알림	센서의 경고를 전달합니다.

4. 작업 영역에서 추가를 선택한 다음 ServiceNow를 선택합니다. 예시:

   

5. 보고서 경고 알림이 선택되어 있는지 확인합니다 .

6. 작업 창에서 다음 매개 변수를 설정합니다.

   매개 변수	설명
   도메인	ServiceNow 서버 IP 주소를 입력합니다.
   사용자 이름	ServiceNow 서버 사용자 이름을 입력합니다.
   암호	ServiceNow 서버 암호를 입력합니다.
   클라이언트 ID	ServiceNow의 애플리케이션 레지스트리 페이지에서 Defender for IoT 에 대해 받은 클라이언트 ID를 입력합니다 .
   클라이언트 암호	ServiceNow의 애플리케이션 레지스트리 페이지에서 Defender for IoT용으로 만든 클라이언트 비밀 문자열을 입력합니다.
   보고서 유형 선택	인시던트: 각 경고에 대한 인시던트 ID 및 간단한 설명을 사용하여 ServiceNow에 표시되는 경고 목록을 전달합니다. IoT용 Defender 애플리케이션: 센서 정보, 엔진, 원본, 대상 주소를 포함한 전체 경고 정보를 전달합니다. 이 정보는 ServiceNow 애플리케이션에서 Defender for IoT로 전달됩니다.

7. SAVE(저장)를 선택합니다.

이제 Defender for IoT 경고가 ServiceNow에서 인시던트로 표시됩니다.

ServiceNow에서 액세스 토큰 만들기

ServiceNow가 Defender for IoT와 통신할 수 있도록 하려면 토큰이 필요합니다.

Defender for IoT 전달 규칙을 만들 때 입력한 항목이 Client Secret 필요합니다Client ID. 전달 규칙은 ServiceNow에 경고 정보를 전달하고, Defender for IoT를 구성할 때 디바이스 특성을 ServiceNow 테이블에 푸시합니다.

Defender for IoT 디바이스 특성을 ServiceNow에 보내기

광범위한 디바이스 특성을 ServiceNow 테이블에 푸시하도록 Defender for IoT를 구성합니다. ServiceNow로 특성을 보내려면 온-프레미스 관리 콘솔을 ServiceNow 인스턴스에 매핑해야 합니다. 이렇게 하면 Defender for IoT 플랫폼이 인스턴스와 통신하고 인증할 수 있습니다.

ServiceNow 인스턴스를 추가하려면 다음을 수행합니다.

1. Defender for IoT 온-프레미스 관리 콘솔 로그인합니다.

2. 시스템 설정 선택한 다음 관리 콘솔 통합 섹션에서 ServiceNow 를 선택합니다.

3. ServiceNow 동기화 대화 상자에 다음 동기화 매개 변수를 입력합니다.

   

   매개 변수	설명
   동기화 사용	매개 변수를 정의한 후 동기화를 사용하거나 사용하지 않도록 설정합니다.
   동기화 빈도(분)	기본적으로 정보는 60분마다 ServiceNow에 푸시됩니다. 최솟값은 5분입니다.
   ServiceNow 인스턴스	ServiceNow 인스턴스 URL을 입력합니다.
   클라이언트 ID	ServiceNow의 애플리케이션 레지스트리 페이지에서 Defender for IoT 에 대해 받은 클라이언트 ID를 입력합니다 .
   클라이언트 암호	ServiceNow의 애플리케이션 레지스트리 페이지에서 Defender for IoT용으로 만든 클라이언트 암호 문자열을 입력합니다.
   사용자 이름	이 인스턴스의 사용자 이름을 입력합니다.
   암호	이 인스턴스의 암호를 입력합니다.

4. SAVE(저장)를 선택합니다.

마지막 동기화 날짜를 검토하여 온-프레미스 관리 콘솔 ServiceNow 인스턴스에 연결되어 있는지 확인합니다.

HTTPS 프록시를 사용하여 통합 설정

Defender for IoT와 ServiceNow 통합을 위해 Defender를 설정하는 경우 온-프레미스 관리 콘솔과 ServiceNow 서버는 포트 443을 사용하여 통신합니다. ServiceNow 서버가 프록시 뒤에 있는 경우 기본 포트를 사용할 수 없습니다.

Defender for IoT는 통합에 사용되는 기본 포트를 변경할 수 있도록 하여 ServiceNow 통합에서 HTTPS 프록시를 지원합니다.

프록시를 구성하려면 다음을 수행합니다.

1. 다음 명령을 사용하여 온-프레미스 관리 콘솔 전역 속성을 편집합니다.

   sudo vim /var/cyberx/properties/global.properties
   

2. 다음 매개 변수를 추가합니다.

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. 저장하고 끝내기를 선택합니다.

4. 다음 명령을 사용하여 온-프레미스 관리 콘솔 다시 설정합니다.

   sudo monit restart all
   

구성이 설정되면 구성된 프록시를 사용하여 모든 ServiceNow 데이터가 전달됩니다.

ServiceNow에서 Defender for IoT 검색 보기

이 문서에서는 ServiceNow에 표시되는 디바이스 특성 및 경고 정보를 설명합니다.

디바이스 특성을 보려면 다음을 수행합니다.

1. ServiceNow에 로그인합니다.

2. CyberX 플랫폼으로 이동합니다.

3. 인벤토리 또는 경고로 이동합니다.

연결된 디바이스 보기

연결된 디바이스를 보려면 다음을 수행합니다.

1. 디바이스를 선택한 다음 해당 디바이스에 대해 나열된 어플라이언스 선택

2. 디바이스 세부 정보 대화 상자에서 커넥트 디바이스를 선택합니다.

다음 단계

Microsoft 및 파트너 서비스와 통합