Udostępnij za pośrednictwem

Integracja usługi ServiceNow z usługą Microsoft Defender dla IoT (starsza wersja)

  • Artykuł

Uwaga

Nowa integracja programu Operational Technology Manager jest teraz dostępna w sklepie ServiceNow. Nowa integracja usprawnia urządzenia czujników IoT w usłudze Microsoft Defender, zasoby OT, połączenia sieciowe i luki w zabezpieczeniach modelu danych technologii operacyjnej (OT) usługi ServiceNow. Sprawdź wersję oprogramowania, ponieważ bardziej aktualne wersje tego oprogramowania mogą być dostępne w witrynie usługi ServiceNow.

Zapoznaj się z linkami pomocniczymi usługi ServiceNow i dokumentami dotyczącymi warunków użytkowania usługi ServiceNow.

Starsza integracja usługi Microsoft Defender dla IoT z usługą ServiceNow nie ma wpływu na nowe integracje i firma Microsoft będzie nadal ją obsługiwać.

Aby uzyskać więcej informacji, zobacz nowe integracje usługi ServiceNow i dokumentację usługi ServiceNow w sklepie ServiceNow:

Ten artykuł pomaga dowiedzieć się, jak zintegrować usługę ServiceNow z usługą Microsoft Defender dla IoT i korzystać z nich.

Integracja usługi Defender for IoT z usługą ServiceNow zapewnia scentralizowany wgląd, monitorowanie i kontrolę nad krajobrazem IoT i OT. Te platformy pomostowe umożliwiają automatyczne zarządzanie urządzeniami i zarządzanie zagrożeniami do wcześniej nieosiągalnych urządzeń ICS i IoT.

Baza danych zarządzania konfiguracją usługi ServiceNow (CMDB) została wzbogacona o bogaty zestaw atrybutów urządzeń wypychanych przez platformę Defender for IoT. Zapewnia to kompleksowy i ciągły wgląd w krajobraz urządzenia. Ta widoczność umożliwia monitorowanie i reagowanie na podstawie jednego okienka szkła.

Uwaga

Usługa Microsoft Defender dla IoT została formalnie znana jako CyberX. Odwołania do CyberX odnoszą się do usługi Defender for IoT.

W tym artykule omówiono sposób wykonywania następujących zadań:

  • Pobieranie aplikacji Defender for IoT w usłudze ServiceNow
  • Konfigurowanie usługi Defender dla IoT do komunikowania się z usługą ServiceNow
  • Tworzenie tokenów dostępu w usłudze ServiceNow
  • Wysyłanie atrybutów urządzeń usługi Defender for IoT do usługi ServiceNow
  • Konfigurowanie integracji przy użyciu serwera proxy HTTPS
  • Wyświetlanie wykrywania usługi Defender dla IoT w usłudze ServiceNow
  • Wyświetlanie połączonych urządzeń

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące wymagania wstępne:

Wymagania dotyczące oprogramowania

Uwaga

Jeśli pracujesz już z integracją usługi Defender dla IoT i usługą ServiceNow i uaktualnij ją przy użyciu lokalnej konsoli zarządzania. W takim przypadku poprzednie dane z czujników usługi Defender for IoT powinny zostać wyczyszczone z usługi ServiceNow.

Architektura

  • Lokalna architektura konsoli zarządzania: skonfiguruj lokalną konsolę zarządzania w celu komunikowania się z jednym wystąpieniem usługi ServiceNow. Lokalna konsola zarządzania wypycha dane czujników do aplikacji Defender for IoT przy użyciu interfejsu API REST.

    Aby skonfigurować system do pracy z lokalną konsolą zarządzania, należy wyłączyć konfigurację synchronizacji usługi ServiceNow, reguł przekazywania i serwera proxy na wszystkich czujnikach, w których zostały skonfigurowane.

  • Architektura czujnika: jeśli chcesz skonfigurować środowisko tak, aby obejmowało bezpośrednią komunikację między czujnikami i usługą ServiceNow, dla każdego czujnika zdefiniuj konfigurację usługi ServiceNow Sync, reguły przekazywania i konfigurację serwera proxy (jeśli jest wymagany serwer proxy).

Uwaga

Integracja starszych wersji usługi Defender dla IoT przekaże dane dla zasobów i alertów, ale nie przekaże danych luk w zabezpieczeniach.

Pobieranie aplikacji Defender for IoT w usłudze ServiceNow

Aby uzyskać dostęp do aplikacji Defender for IoT w usłudze ServiceNow, musisz pobrać aplikację ze sklepu aplikacji ServiceNow.

Aby uzyskać dostęp do aplikacji Defender for IoT w usłudze ServiceNow:

  1. Przejdź do sklepu aplikacji ServiceNow.

  2. Defender for IoT Wyszukaj ciąg lub CyberX IoT/ICS Management.

  3. Wybierz aplikację .

  4. Wybierz pozycję Zażądaj aplikacji.

  5. Zaloguj się i pobierz aplikację.

Konfigurowanie usługi Defender dla IoT do komunikowania się z usługą ServiceNow

Skonfiguruj usługę Defender dla IoT, aby wypychać informacje o alertach do tabel usługi ServiceNow. Alerty usługi Defender dla IoT są wyświetlane w usłudze ServiceNow jako zdarzenia zabezpieczeń. Można to zrobić, definiując regułę przekazywania usługi Defender dla IoT w celu wysyłania informacji o alertach do usługi ServiceNow.

Przekazywanie reguł alertów jest uruchamiane tylko dla alertów wyzwalanych po utworzeniu reguły przekazywania. Alerty już w systemie przed utworzeniem reguły przekazywania nie mają wpływu na regułę.

Aby wypchnąć informacje o alertach do tabel usługi ServiceNow:

  1. Zaloguj się do lokalnej konsoli zarządzania i wybierz pozycję Przekazywanie.

  2. Wybierz + , aby utworzyć nową regułę.

  3. W okienku Tworzenie reguły przekazywania zdefiniuj następujące wartości:

    Parametr opis
    Nazwa/nazwisko Wprowadź zrozumiałą nazwę reguły przekazywania.
    Ostrzeżenie Z menu rozwijanego wybierz minimalny poziom zdarzeń na poziomie zabezpieczeń do przekazania.
    Jeśli na przykład wybrano opcję Pomocnicza , alerty pomocnicze i alerty powyżej tego poziomu ważności zostaną przekazane.
    Protokoły Aby wybrać określony protokół, wybierz pozycję Określony i wybierz protokół, dla którego ta reguła jest stosowana.
    Domyślnie wszystkie protokoły są zaznaczone.
    Silniki Aby wybrać określony aparat zabezpieczeń, dla którego ta reguła jest stosowana, wybierz pozycję Określone i wybierz aparat.
    Domyślnie wszystkie aparaty zabezpieczeń są zaangażowane.
    Powiadomienia systemowe Prześlij dalej stan czujnika w trybie online i offline .
    Powiadomienia o alertach Przekaż alerty czujnika.

  4. W obszarze Akcje wybierz pozycję Dodaj, a następnie wybierz pozycję ServiceNow. Na przykład:

    Zrzut ekranu przedstawiający okno Tworzenie reguły przekazywania dalej.

  5. Sprawdź, czy wybrano pozycję Powiadomienia o alertach raportu.

  6. W okienku Akcje ustaw następujące parametry:

    Parametr Opis
    Domeny Wprowadź adres IP serwera ServiceNow.
    Nazwa użytkownika Wprowadź nazwę użytkownika serwera ServiceNow.
    Hasło Wprowadź hasło serwera ServiceNow.
    Client ID Wprowadź identyfikator klienta otrzymany dla usługi Defender dla IoT na stronie Rejestry aplikacji w usłudze ServiceNow.
    Client Secret (Wpis tajny klienta) Wprowadź ciąg wpisu tajnego klienta utworzonego dla usługi Defender dla IoT na stronie Rejestry aplikacji w usłudze ServiceNow.
    Wybierz typ raportu Zdarzenia: prześlij listę alertów przedstawionych w usłudze ServiceNow z identyfikatorem zdarzenia i krótkim opisem każdego alertu.

    Aplikacja Defender for IoT: prześlij pełne informacje o alertach, w tym szczegóły czujnika, aparat, źródło i adresy docelowe. Informacje są przekazywane do usługi Defender dla IoT w aplikacji ServiceNow.

  7. Wybierz pozycję ZAPISZ.

Alerty usługi Defender dla IoT będą teraz wyświetlane jako zdarzenia w usłudze ServiceNow.

Tworzenie tokenów dostępu w usłudze ServiceNow

Aby umożliwić usłudze ServiceNow komunikację z usługą Defender dla IoT, potrzebny jest token.

Podczas tworzenia reguł przesyłania dalej usługi Defender dla IoT potrzebne Client ID Client Secret są te reguły. Reguły przekazywania przekazują informacje o alertach do usługi ServiceNow oraz podczas konfigurowania usługi Defender dla IoT w celu wypychania atrybutów urządzenia do tabel usługi ServiceNow.

Wysyłanie atrybutów urządzeń usługi Defender for IoT do usługi ServiceNow

Skonfiguruj usługę Defender dla IoT, aby wypchnąć szeroką gamę atrybutów urządzeń do tabel usługi ServiceNow. Aby wysłać atrybuty do usługi ServiceNow, należy zamapować lokalną konsolę zarządzania na wystąpienie usługi ServiceNow. Gwarantuje to, że platforma Defender for IoT może komunikować się i uwierzytelniać z wystąpieniem.

Aby dodać wystąpienie usługi ServiceNow:

  1. Zaloguj się do lokalnej konsoli zarządzania usługi Defender for IoT.

  2. Wybierz pozycję System Ustawienia, a następnie pozycję ServiceNow w sekcji Integracje konsoli zarządzania.

  3. Wprowadź następujące parametry synchronizacji w oknie dialogowym ServiceNow Sync.

    Zrzut ekranu przedstawiający okno dialogowe synchronizacji usługi ServiceNow.

    Parametr Opis
    Włączanie synchronizacji Włącz i wyłącz synchronizację po zdefiniowaniu parametrów.
    Częstotliwość synchronizacji (w minutach) Domyślnie informacje są wypychane do usługi ServiceNow co 60 minut. Minimalna wartość to 5 minut.
    Wystąpienie usługi ServiceNow Wprowadź adres URL wystąpienia usługi ServiceNow.
    Client ID Wprowadź identyfikator klienta otrzymany dla usługi Defender dla IoT na stronie Rejestry aplikacji w usłudze ServiceNow.
    Client Secret (Wpis tajny klienta) Wprowadź ciąg wpisu tajnego klienta utworzonego dla usługi Defender dla IoT na stronie Rejestry aplikacji w usłudze ServiceNow.
    Nazwa użytkownika Wprowadź nazwę użytkownika dla tego wystąpienia.
    Hasło Wprowadź hasło dla tego wystąpienia.

  4. Wybierz pozycję ZAPISZ.

Sprawdź, czy lokalna konsola zarządzania jest połączona z wystąpieniem usługi ServiceNow, przeglądając datę ostatniej synchronizacji.

Zrzut ekranu przedstawiający komunikację, która występuje, przeglądając ostatnią synchronizację.

Konfigurowanie integracji przy użyciu serwera proxy HTTPS

Podczas konfigurowania integracji usługi Defender dla IoT i usługi ServiceNow lokalna konsola zarządzania i serwer Usługi ServiceNow komunikują się przy użyciu portu 443. Jeśli serwer ServiceNow znajduje się za serwerem proxy, nie można użyć portu domyślnego.

Usługa Defender for IoT obsługuje serwer proxy HTTPS w integracji usługi ServiceNow, włączając zmianę domyślnego portu używanego do integracji.

Aby skonfigurować serwer proxy:

  1. Edytuj właściwości globalne w lokalnej konsoli zarządzania przy użyciu następującego polecenia:

    sudo vim /var/cyberx/properties/global.properties

  2. Dodaj następujące parametry:

    • servicenow.http_proxy.enabled=1

    • servicenow.http_proxy.ip=1.179.148.9

    • servicenow.http_proxy.port=59125

  3. Wybierz pozycję Zapisz i zakończ.

  4. Zresetuj lokalną konsolę zarządzania przy użyciu następującego polecenia:

    sudo monit restart all

Po ustawieniu konfiguracji wszystkie dane usługi ServiceNow są przekazywane przy użyciu skonfigurowanego serwera proxy.

Wyświetlanie wykrywania usługi Defender dla IoT w usłudze ServiceNow

W tym artykule opisano atrybuty urządzenia i informacje o alertach przedstawione w usłudze ServiceNow.

Aby wyświetlić atrybuty urządzenia:

  1. Zaloguj się do usługi ServiceNow.

  2. Przejdź do platformy CyberX.

  3. Przejdź do obszaru Spis lub Alert.

Wyświetlanie połączonych urządzeń

Aby wyświetlić połączone urządzenia:

  1. Wybierz urządzenie, a następnie wybierz urządzenie wymienione na liście dla tego urządzenia.

  2. W oknie dialogowym Szczegóły urządzenia wybierz pozycję Połączenie urządzenia.

Następne kroki

Integracje z usługami firmy Microsoft i partnerami