ServiceNow SIR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

В современном быстро развивающемся ландшафте угроз организации нуждаются в передовых решениях по обеспечению безопасности, сочетающих аналитику на основе ИИ с возможностями автоматического реагирования. Интеграция между ServiceNow Security Incident Response (SIR) и Microsoft Security Copilot переопределяет операции безопасности, обеспечивая динамическое принятие решений, аналитические сведения в режиме реального времени и возможности автономного реагирования. Реализовав это решение, организации могут повысить уровень безопасности, снизить кибер-риски и оптимизировать операции по обеспечению безопасности в будущем.

Реагирование на инциденты безопасности ServiceNow и Microsoft Security Copilot в действии!

Чтобы легко интегрировать Службу реагирования на инциденты безопасности ServiceNow с Microsoft Security Copilot, включив автономные операции безопасности на основе ИИ, которые повышают обнаружение угроз, ускоряют реагирование на инциденты и повышают общую устойчивость кибербезопасности за счет интеллектуального взаимодействия ИИ с ИИ.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Scope

1. Обогащение инцидентов в SIR с помощью аналитики угроз и сведений о пользователях и устройствах, чтобы получить контекстную осведомленность об устранении инцидентов
2. Предоставление сведений об инциденте безопасности из SIR, а также связанных аналитических сведений о пользователях и устройствах из CMDB в Майкрософт

Ценностное предложение

1. Ускоренное исследование и реагирование. Анализ угроз с помощью аналитических сведений с помощью ИИ и быстрый переход к исправлению с помощью контекстной аналитики
2. Улучшенная операционная эффективность: сокращение среднего времени на разрешение (MTTR) с помощью поддержки искусственного интеллекта на естественном языке
3. Более высокий уровень безопасности. Используйте аналитику угроз с помощью искусственного интеллекта для упреждающего выявления и снижения рисков перед их эскалацией.

Подход к интеграции

1. Обмен данными между SIR и Microsoft Security Copilot.
2. Клиенты смогут запрашивать быстрые запросы на панели поддержки ServiceNow Now на сведения об угрозах, сведениях об угрозах, пользователях и устройствах корпорации Майкрософт.
3. Аналогичным образом клиенты смогут запрашивать сводку инцидентов безопасности вместе с связанными аналитическими сведениями о пользователях и устройствах из CMDB в microsoft security copilot

Перед началом работы

Регистрация приложения в ServiceNow

1. Перейдите в раздел System oAuth > Application Registry > New > Create an OAuth API endpoint for external clients (Создание конечной точки API OAuth для внешних клиентов).
2. Задайте имя: Microsoft Security Copilot ServiceNowSIR.
3. Задайте URL-адрес перенаправления: https://securitycopilot.microsoft.com/auth/v1/callback.
4. Нажмите Отправить.

Настройка подключаемого модуля ServiceNowSIR в Microsoft Security Copilot

1. Задайте URL-адрес экземпляра ServiceNow.
2. Задайте идентификатор клиента и секрет клиента, созданные в предыдущем разделе.
3. Задайте AuthorizationEndpoint и TokenEndpoint.

Примеры запросов ServiceNowSIR

После настройки ServiceNowSIR его можно использовать, выполнив одно из следующих действий.

Навык	Входные данные	Пример Запросы
Получение сведений об инциденте безопасности	номер инцидента безопасности (обязательный)	Загрузка SIR0001624 инцидента безопасности ServiceNow Получите ServiceNow описание и краткое описание инцидента безопасности SIR0001624
Получение сводных данных об инцидентах безопасности	номер инцидента безопасности (обязательный)	Получение сводки по инцидентам безопасности ServiceNow SIR0001624
Получение аналитических сведений о корреляции для инцидента безопасности	номер инцидента безопасности (обязательный) variable (обязательный) name (обязательно) lookback_period (необязательно)	Получение сведений об инциденте безопасности ServiceNow SIR0010081 корреляции с помощью cmdb_ci переменных, имени DatabaseServer2 и lookback_period=365 Получение сведений об инциденте безопасности ServiceNow SIR0010081 корреляции с помощью affected_user переменной, имя Алиса Браун и lookback_period=365 Получение сведений об инциденте безопасности ServiceNow SIR0010081 корреляции с помощью threat_intelligence переменных и имени https://keyloggerapp.xxx.com и lookback_period=365
Получение пользователя по имени	name (обязательно)	Получение пользователя ServiceNow Алиса Брауна Получение отдела и расположения пользователя ServiceNow Алисы Браун
Получение CI CMDB по имени	name (обязательно)	Получение элемента конфигурации ServiceNow DatabaseServer2 Получение ServiceNow бизнес-единицы элемента конфигурации DatabaseServer2 Получение ServiceNow расположение и изготовитель элемента конфигурации DatabaseServer2

Устранение неполадок с подключаемым модулем ServiceNowSIR

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка, убедитесь, что подключаемый модуль включен. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули с функциональностью, аналогичной набору возможностей, который вы хотите использовать. Вы можете либо использовать имя продукта ServiceNowSIR в запросах, либо ввести имя конкретной возможности, например <> .

Предоставление отзывов

Чтобы оставить отзыв, обратитесь к управлению продуктами ServiceNowSIR.