Интеграция ServiceNow с Microsoft Defender для Интернета вещей (устаревшая версия)
Примечание.
Теперь в магазине ServiceNow доступна новая интеграция Operational Technology Manager. Данная новая интеграция упрощает работу устройств датчиков Microsoft Defender для Интернета вещей, ресурсов OT, сетевых подключений и поиск уязвимостей в модели данных операционных технологии (OT) ServiceNow. Проверьте версию программного обеспечения, так как более актуальные версии этого программного обеспечения, возможно, доступны на сайте ServiceNow.
Ознакомьтесь с материалами, представленными по вспомогательным ссылкам ServiceNow, и условиями предоставления услуг ServiceNow.
Устаревшая интеграция Microsoft Defender для Интернета вещей с ServiceNow не зависит от новых интеграций, и корпорация Майкрософт продолжит ее поддержку.
Дополнительные сведения см. в описании новых интеграции ServiceNow и документации по ServiceNow в хранилище ServiceNow:
В этой статье вы узнаете, как интегрировать и использовать ServiceNow с Microsoft Defender для Интернета вещей.
Интеграция Defender для Интернета вещей с ServiceNow обеспечивает централизованную видимость, мониторинг и управление ландшафтом Интернета вещей и OT. Эти мостовые платформы позволяют автоматизированной видимости устройств и управления угрозами ранее недоступными устройствами ICS и IoT.
База данных управления конфигурацией (CMDB) ServiceNow дополняется широким набором атрибутов устройств, передаваемых Defender для Интернета вещей. Это обеспечивает исчерпывающий и непрерывный обзор ландшафта устройств. Такой обзор позволяет выполнять мониторинг и реагировать с помощью унифицированной панели управления.
Примечание.
Microsoft Defender для Интернета вещей официально известен как CyberX. Ссылки на CyberX относятся к Defender для Интернета вещей.
Вы узнаете, как выполнять следующие задачи:
- Загрузка приложения Defender для Интернета вещей в ServiceNow
- Настройка подключения Defender для Интернета вещей к ServiceNow
- Создание токенов доступа в ServiceNow
- Отправка атрибутов устройства Defender для Интернета вещей в ServiceNow
- Настройка интеграции с помощью прокси-сервера HTTPS
- Просмотр обнаруженных угроз Defender для Интернета вещей в ServiceNow
- Просмотр подключенных устройств
Необходимые компоненты
Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:
Требования к программному обеспечению
Доступ к ServiceNow и Defender для Интернета вещей.
- ServiceNow Service Management, версия 3.0.2.
- Defender для Интернета вещей, набор исправлений 2.8.11.1 и новее.
Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.
Примечание.
Если вы уже интегрировали Defender для Интернета вещей в ServiceNow, и выполняете обновление через локальную консоль, нужно удалить из ServiceNow полученные ранее данные датчиков Defender для Интернета вещей.
Архитектура
Архитектура локальной консоли управления: локальную консоль управления можно подключить к одному экземпляру ServiceNow. Локальная консоль управления отправляет данные датчиков в приложение Defender для Интернета вещей с помощью REST API.
Чтобы настроить систему для работы с локальными консоль управления, необходимо отключить конфигурации ServiceNow Sync, пересылки правил и прокси-серверов на всех датчиках, где они были настроены.
Архитектура датчика: если вы хотите настроить среду с прямым подключением датчиков к ServiceNow, необходимо для каждого датчика определить параметры синхронизации ServiceNow, правила перенаправления и конфигурацию прокси-сервера (если требуется прокси-сервер).
Примечание.
Интеграция устаревших версий Defender для Интернета вещей передает данные для ресурсов и оповещений, но не передает данные об уязвимостях.
Загрузка приложения Defender для Интернета вещей в ServiceNow
Чтобы получить доступ к приложению Defender для Интернета вещей в ServiceNow, необходимо скачать приложение из хранилища приложений ServiceNow.
Чтобы получить доступ к приложению Defender для Интернета вещей в ServiceNow, выполните следующие действия.
Перейдите в магазин приложений ServiceNow.
Выполните поиск по запросу
Defender for IoTилиCyberX IoT/ICS Management.Выберите приложение .
Нажмите Request App.
Войдите в систему и загрузите приложение.
Настройка подключения Defender для Интернета вещей к ServiceNow
Настройте отправку сведений об оповещениях от Defender для Интернета вещей в таблицы ServiceNow. Оповещения Defender для Интернета вещей отображаются в ServiceNow как инциденты безопасности. Для этого можно определить правило переадресации Defender для Интернета вещей, чтобы отправлять сведения об оповещениях в ServiceNow.
Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Оповещения, уже созданные в системе до создания правила пересылки, не затрагиваются правилом.
Чтобы отправлять сведения об оповещениях в таблицы ServiceNow, выполните следующие действия.
Войдите в локальную консоль управления и выберите "Переадресация".
Выберите + , чтобы создать новое правило.
В области "Создание правила пересылки" определите следующие значения:
Параметр Описание: Имя Введите понятное имя правила переадресации. Предупреждения В раскрывающемся меню выберите минимальный уровень безопасности для переадресации.
Например, если выбрано Низкая, то будут переадресовываться оповещения низкой степени серьезности и все оповещения выше этого уровня.Протоколы Чтобы выбрать определенный протокол, выберите Специальный, а затем выберите протокол, к которому применяется это правило.
По умолчанию выбраны все протоколы.Двигателей Чтобы выбрать определенную подсистему безопасности, к которой применяется это правило, выберите Специальный, а затем выберите подсистему.
По умолчанию все подсистемы безопасности задействованы.Системные уведомления Переадресуйте состояние подключенный и автономный для датчика. Уведомления Переадресация оповещений датчика. В области "Действия" выберите "Добавить" и выберите ServiceNow. Например:
Убедитесь, что выбран параметр Уведомления об оповещениях.
На панели Действия задайте следующие параметры:
Параметр Описание Domain Введите IP-адрес сервера ServiceNow. Username Введите имя пользователя для доступа к серверу ServiceNow. Пароль Введите пароль для доступа к серверу ServiceNow. Идентификатор клиента Введите идентификатор клиента, полученный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow. Секрет клиента Введите секрет клиента, созданный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow. Выбор типа отчета Инциденты: пересылка списка оповещений, представленных в ServiceNow, с идентификатором инцидента и кратким описанием каждого оповещения.
Приложение Defender для Интернета вещей: пересылка полных сведений об оповещениях, включая сведения о датчике, модуле, адресе источника и адресе назначения. Сведения пересылаются в Defender для Интернета вещей в приложении ServiceNow.Щелкните Сохранить.
Теперь оповещения Defender для Интернета вещей будут отображаться как инциденты в ServiceNow.
Создание токенов доступа в ServiceNow
Чтобы разрешить ServiceNow обмен данными с Defender для Интернета вещей, необходим маркер.
Вам потребуется Client ID и Client Secret что вы ввели при создании правил пересылки Defender для Интернета вещей. Правила переадресации пересылают сведения об оповещениях в ServiceNow, а также при настройке отправки атрибутов устройств от Defender для Интернета вещей в таблицы ServiceNow.
Отправка атрибутов устройства Defender для Интернета вещей в ServiceNow
Настройте Defender для Интернета вещей для передачи широкого диапазона атрибутов устройств в таблицы ServiceNow. Чтобы передавать атрибуты в ServiceNow, необходимо связать локальную консоль управления с экземпляром ServiceNow. Это гарантирует, что платформа Defender для Интернета вещей сможет обмениваться данными с экземпляром и проходить проверку подлинности.
Чтобы добавить экземпляр ServiceNow, выполните следующие действия.
Войдите в локальную консоль управления Defender для Интернета вещей.
Выберите system Параметры, а затем ServiceNow в разделе интеграции с консолью управления.
Введите следующие параметры синхронизации в диалоговом окне "Синхронизация ServiceNow".
Параметр Описание Включение синхронизации Включение и отключение синхронизации после определения параметров. Частота синхронизации (минуты) По умолчанию данные передаются в ServiceNow один раз в 60 минут. Минимальное значение — 5 минут. Экземпляр ServiceNow Введите URL-адрес экземпляра ServiceNow. Идентификатор клиента Введите идентификатор клиента, полученный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow. Секрет клиента Введите секрет клиента, созданный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow. Username Введите имя пользователя для этого экземпляра. Пароль Введите пароль для этого экземпляра. Щелкните Сохранить.
Убедитесь, что локальная консоль управления подключена к экземпляру ServiceNow, просмотрев дату последней синхронизации.
Настройка интеграций с помощью прокси-сервера HTTPS
При настройке интеграции Defender для Интернета вещей с ServiceNow локальная консоль управления и сервер ServiceNow обмениваются данными через порт 443. Если сервер ServiceNow находится за прокси-сервером, порт по умолчанию использовать нельзя.
Defender для Интернета вещей поддерживает прокси-сервер HTTPS в интеграции с ServiceNow и позволяет изменить порт по умолчанию, используемый для интеграции.
Чтобы настроить прокси-сервер, выполните следующие действия.
Измените глобальные свойства в локальной консоли управления с помощью следующей команды.
sudo vim /var/cyberx/properties/global.propertiesДобавьте следующие параметры:
servicenow.http_proxy.enabled=1servicenow.http_proxy.ip=1.179.148.9servicenow.http_proxy.port=59125
Нажмите Сохранить и выйти.
Сбросьте локальную консоль управления с помощью следующей команды.
sudo monit restart all
После настройки все данные ServiceNow пересылаются с помощью настроенного прокси-сервера.
Просмотр обнаруженных угроз Defender для Интернета вещей в ServiceNow
В этой статье описываются атрибуты устройств и сведения об оповещениях, отображаемые в ServiceNow.
Чтобы просмотреть атрибуты устройств, выполните следующие действия.
Войдите в ServiceNow.
Перейдите на платформу CyberX.
Перейдите к разделу Данные инвентаризации или Оповещение.
Просмотр подключенных устройств
Чтобы просмотреть подключенные устройства:
Выберите устройство, а затем выберите Устройство в списке для этого устройства.
В диалоговом окне Сведения об устройстве выберите Подключенные устройства.