Integrar o ServiceNow ao Microsoft Defender para IoT (versão herdada)

Observação

Uma nova integração ao Gerente de Tecnologia Operacional está disponível na loja do ServiceNow. A nova integração simplifica o Dispositivos de sensor do Azure Defender para IoT, ativos OT, conexões de rede e vulnerabilidades no modelo de dados da OT (Tecnologia Operacional) do ServiceNow. Verifique a versão do software, pois versões mais atualizadas deste software podem estar disponíveis no site ServiceNow.

Leia os links e documentos de suporte do ServiceNow para verificar os termos de serviço do ServiceNow.

A integração herdada do Microsoft Defender para IoT com o ServiceNow não é afetada pelas novas integrações e a Microsoft continuará dando suporte a ela.

Para obter mais informações, confira as novas integrações do ServiceNow e a documentação do ServiceNow no repositório ServiceNow:

• SGC (Conector do Service Graph)
• VR (Resposta de Vulnerabilidade).

Este artigo ajuda você a aprender a integrar e usar o ServiceNow com o Microsoft Defender para IoT.

O Defender para a integração do IoT com o ServiceNow fornece um novo nível de visibilidade, monitoramento e controle centralizados para cenários de IoT e OT. Essas plataformas interligadas permitem a automatização da visibilidade de dispositivos e do gerenciamento de ameaças para dispositivos ICS e IoT anteriormente inacessíveis.

O CMDB (Banco de Dados de Gerenciamento de Configuração) do ServiceNow é aprimorado e complementado com um rico conjunto de atributos de dispositivo que é enviado pela plataforma Defender para IoT. Isso garante uma visibilidade abrangente e contínua no cenário do dispositivo. Isso permite monitorar e responder por um painel de controle único.

Observação

O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX se referem ao Defender para IoT.

Neste artigo, você aprenderá como:

• Baixar o aplicativo Defender para IoT no ServiceNow
• Configurar o Defender para IoT para se comunicar com o ServiceNow
• Criar tokens de acesso no ServiceNow
• Enviar os atributos de dispositivo do Defender para IoT para ServiceNow
• Configurar a integração usando um proxy HTTPS
• Exibir as detecções do Defender para IoT no ServiceNow
• Exibir dispositivos conectados

Pré-requisitos

Antes de iniciar, verifique se você cumpre os seguintes pré-requisitos:

Requisitos de software

• Acesso ao ServiceNow e ao Defender para IoT

  • Gerenciamento de serviços do ServiceNow versão 3.0.2.
  • Patch do Defender para IoT 2.8.11.1 ou superior.

• Acesso a um sensor do Defender para IoT OT como um usuário administrador. Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Observação

Se você já trabalha com a integração do Defender para IoT com o ServiceNow e atualiza usando o console de gerenciamento local, nesse caso, os dados anteriores dos sensores do Defender para IoT devem ser limpos do ServiceNow.

Arquitetura

• Arquitetura do console de gerenciamento local: configure um console de gerenciamento local para se comunicar com uma instância do ServiceNow. O console de gerenciamento local envia dados de sensor para o aplicativo Defender para IoT usando a API REST.

  Para configurar seu sistema para trabalhar com um console de gerenciamento local, você precisará desabilitar a sincronização do ServiceNow, as regras de encaminhamento e as configurações de proxy nos sensores, se elas foram configuradas.

• Arquitetura de sensor: se você quiser configurar seu ambiente para incluir comunicação direta entre sensores e o ServiceNow, para cada sensor, defina a sincronização do ServiceNow, as regras de encaminhamento e a configuração de proxy (se for necessário um proxy).

Observação

A integração para versões herdadas do Defender para IoT passará dados para ativos e alertas, mas não passará dados de vulnerabilidade.

Baixar o aplicativo Defender para IoT no ServiceNow

Para acessar o aplicativo Defender para IoT no ServiceNow, você precisará baixar o formulário de aplicativo na loja de aplicativos do ServiceNow.

Para acessar o aplicativo Defender para IoT no ServiceNow:

1. Navegue para a Loja de aplicativos do ServiceNow.

2. Procure Defender for IoT ou CyberX IoT/ICS Management.

3. Selecione o aplicativo.

4. Selecione Solicitar Aplicativo.

5. Entre e baixe o aplicativo.

Configurar o Defender para IoT para se comunicar com o ServiceNow

Configure o Defender para IoT para enviar informações de alerta para tabelas do ServiceNow. Os alertas do Defender para IoT aparecem no ServiceNow como incidentes de segurança. Isso pode ser defeito definindo uma regra de encaminhamento do Defender para IoT para enviar informações de alertas para o ServiceNow.

As regras de alerta de encaminhamento são executadas somente em alertas disparados após a criação da regra de encaminhamento. Os alertas já existentes no sistema antes da criação da regra de encaminhamento não são afetados pela regra.

Para enviar por push as informações de alerta para as tabelas do ServiceNow:

1. Entre no console de gerenciamento local e selecione Encaminhamento à esquerda.

2. Selecione a opção + para criar uma regra.

3. No painel Criar Regra de Encaminhamento, defina os seguintes valores:

   Parâmetro	Descrição
   Nome	Insira um nome significativo para a regra de encaminhamento.
   Aviso	No menu suspenso, selecione o incidente de nível de segurança mínimo a ser encaminhado. Por exemplo, se Menos grave estiver selecionado, os alertas menos graves e todos os alertas acima desse nível de severidade serão encaminhados.
   Protocolos	Para selecionar um protocolo específico, selecione Específico e selecione o protocolo para o qual essa regra será aplicada. Por padrão, todos os protocolos são selecionados.
   Motores	Para selecionar um mecanismo de segurança específico para o qual essa regra será aplicada, selecione Específico e selecione o mecanismo. Por padrão, todos os mecanismos de segurança estão envolvidos.
   Notificações do Sistema	Encaminhe o status do sensor online e offline.
   Notificações de Alerta	Encaminhe os alertas do sensor.

4. Na área Ações, selecione Adicionar e ServiceNow. Por exemplo:

   

5. Verifique se Reportar Notificações de Alertas está selecionado.

6. No painel Ações, defina os seguintes parâmetros:

   Parâmetro	Descrição
   Domínio	Insira o endereço IP do servidor ServiceNow.
   Nome de usuário	Insira o nome de usuário do servidor ServiceNow.
   Senha	Insira a senha do servidor ServiceNow.
   ID do Cliente	Insira a ID do cliente que você recebeu para o Defender para IoT na página Registros do Aplicativo no ServiceNow.
   Segredo do Cliente	Insira a cadeia de caracteres secreta do cliente que você criou para o Defender para IoT na página Registros do Aplicativo no ServiceNow.
   Selecionar o Tipo de Relatório	Incidentes: encaminhe a lista de alertas que são apresentados no ServiceNow com a ID do incidente e uma breve descrição de cada alerta. Aplicativo Defender para IoT: encaminhe as informações completas do alerta, incluindo os detalhes do sensor, o mecanismo, a origem e os endereços de destino. As informações são encaminhadas para o Defender para IoT no aplicativo ServiceNow.

7. Selecione SALVAR.

Os alertas do Defender para IoT aparecerão como incidentes no ServiceNow.

Criar tokens de acesso no ServiceNow

Um token é necessário para permitir que o ServiceNow se comunique com o Defender para IoT.

Você precisará do Client ID e do Client Secret que inseriu ao criar as regras de encaminhamento do Defender para IoT. As regras de Encaminhamento enviam informações de alerta para o ServiceNow e, ao configurar o Defender para IoT, envia por push os atributos do dispositivo para as tabelas do ServiceNow.

Enviar os atributos de dispositivo do Defender para IoT para ServiceNow

Configure o Defender para IoT para enviar por push um amplo intervalo de atributos de dispositivo para as tabelas do ServiceNow. Para enviar atributos para o ServiceNow, mapeie seu console de gerenciamento local para a instância do ServiceNow. Isso garante que a plataforma Defender para IoT se comunique e autentique com a instância.

Para adicionar uma instância do ServiceNow:

1. Entre em seu console de gerenciamento local do Defender para IoT.

2. Selecione Configurações do Sistema e ServiceNow na seção Integração do console de gerenciamento local.

3. Insira os seguintes parâmetros de sincronização na caixa de diálogo do ServiceNow Sync.

   

   Parâmetro	Descrição
   Habilita a sincronização	Habilita e desabilita a sincronização após definir os parâmetros.
   Frequência da sincronização (em minutos)	Por padrão, as informações são enviadas para o ServiceNow a cada 60 minutos. O mínimo é de 5 minutos.
   Instância do ServiceNow	Insira o URL da instância do ServiceNow.
   ID do Cliente	Insira a ID do cliente que você recebeu para o Defender para IoT na página Registros do Aplicativo no ServiceNow.
   Segredo do Cliente	Insira a cadeia de Caracteres Secreta do cliente que você criou para o Defender para IoT na página Registros do Aplicativo no ServiceNow.
   Nome de usuário	Insira o nome de usuário para esta instância.
   Senha	Insira a senha para esta instância.

4. Selecione SALVAR.

Verifique se o console de gerenciamento local está conectado à instância do ServiceNow, revisando a data da Última Sincronização.

Configurar as integrações usando um proxy HTTPS

Ao configurar a integração do Defender para IoT e do ServiceNow, o console de gerenciamento local e o servidor do ServiceNow se comunicam usando a porta 443. Se o servidor do ServiceNow estiver por trás de um proxy, a porta padrão não poderá ser usada.

Para tornar o Defender para IoT compatível com o proxy HTTPS na integração do ServiceNow, habilite a alteração da porta padrão usada para a integração.

Para configurar o proxy:

1. Edite as propriedades globais no console de gerenciamento local usando o seguinte comando:

   sudo vim /var/cyberx/properties/global.properties
   

2. Adicione os parâmetros a seguir:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. Selecione Salvar e Sair.

4. Redefina o console de gerenciamento local usando o seguinte comando:

   sudo monit restart all
   

Após as configurações serem definidas, todos os dados do ServiceNow serão encaminhados usando o proxy configurado.

Exibir as detecções do Defender para IoT no ServiceNow

Este artigo descreve os atributos de dispositivo e as informações de alerta apresentadas no ServiceNow.

Para exibir atributos do dispositivo:

1. Entre no ServiceNow.

2. Navegue até a Plataforma CyberX.

3. Navegue até Inventário ou Alerta.

Exibir dispositivos conectados

Para exibir os dispositivos conectados:

1. Selecione um dispositivo e selecione o Aparelho listado para esse dispositivo.

2. Na caixa de diálogo Detalhes do Dispositivo, selecione Dispositivos Conectados.

Próximas etapas

Integrações com serviços da Microsoft e de parceiros