Integrera ServiceNow med Microsoft Defender för IoT (äldre)

Kommentar

En ny Operational Technology Manager-integrering är nu tillgänglig från ServiceNow-butiken. Den nya integreringen effektiviserar Microsoft Defender för IoT-sensorapparater, OT-tillgångar, nätverksanslutningar och sårbarheter för ServiceNows datamodell för driftteknik (OT). Kontrollera programvaruversionen eftersom mer aktuella versioner av den här programvaran kanske är tillgängliga på ServiceNow-webbplatsen.

Läs servicenows stödlänkar och dokument för ServiceNows användarvillkor.

Microsoft Defender för IoT:s äldre integrering med ServiceNow påverkas inte av de nya integreringarna och Microsoft kommer att fortsätta att stödja den.

Mer information finns i de nya ServiceNow-integreringarna och ServiceNow-dokumentationen i ServiceNow Store:

• Service Graph Anslut or (SGC)
• Sårbarhetssvar (VR).

Den här artikeln hjälper dig att lära dig hur du integrerar och använder ServiceNow med Microsoft Defender för IoT.

Defender for IoT-integreringen med ServiceNow ger centraliserad synlighet, övervakning och kontroll för IoT- och OT-liggande. Dessa bryggade plattformar möjliggör automatisk enhetssynlighet och hothantering till tidigare oåtkomliga ICS- och IoT-enheter.

ServiceNow Configuration Management Database (CMDB) berikas och kompletteras med en omfattande uppsättning enhetsattribut som push-överförs av Defender for IoT-plattformen. Detta säkerställer en omfattande och kontinuerlig insyn i enhetslandskapet. Med den här synligheten kan du övervaka och svara från en enda fönsterruta.

Kommentar

Microsoft Defender för IoT kallades formellt CyberX. Referenser till CyberX refererar till Defender för IoT.

I den här artikeln kan du se hur du:

• Ladda ned Defender for IoT-programmet i ServiceNow
• Konfigurera Defender för IoT för att kommunicera med ServiceNow
• Skapa åtkomsttoken i ServiceNow
• Skicka Defender för IoT-enhetsattribut till ServiceNow
• Konfigurera integreringen med hjälp av en HTTPS-proxy
• Visa Defender för IoT-identifieringar i ServiceNow
• Visa anslutna enheter

Förutsättningar

Kontrollera att du har följande förutsättningar innan du börjar:

Programvarukrav

• Åtkomst till ServiceNow och Defender för IoT

  • ServiceNow Service Management version 3.0.2.
  • Defender för IoT patch 2.8.11.1 eller senare.

• Åtkomst till en Defender for IoT OT-sensor som administratörsanvändare. Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Kommentar

Om du redan arbetar med en Defender for IoT- och ServiceNow-integrering och uppgradering med hjälp av den lokala hanteringskonsolen. I så fall bör tidigare data från Defender för IoT-sensorer rensas från ServiceNow.

Arkitektur

• Arkitektur för lokal hanteringskonsol: Konfigurera en lokal hanteringskonsol för att kommunicera med en instans av ServiceNow. Den lokala hanteringskonsolen skickar sensordata till Defender for IoT-programmet med hjälp av REST API.

  Om du vill konfigurera systemet så att det fungerar med en lokal hanteringskonsol måste du inaktivera konfigurationerna ServiceNow Sync, Vidarebefordransregler och Proxy på alla sensorer där de har konfigurerats.

• Sensorarkitektur: Om du vill konfigurera din miljö så att den omfattar direkt kommunikation mellan sensorer och ServiceNow definierar varje sensor ServiceNow Sync, vidarebefordransregler och proxykonfiguration (om en proxy behövs).

Kommentar

Integreringen för äldre versioner av Defender för IoT skickar data för tillgångar och aviseringar men skickar inte sårbarhetsdata.

Ladda ned Defender for IoT-programmet i ServiceNow

För att få åtkomst till Defender for IoT-programmet i ServiceNow måste du ladda ned programmet från ServiceNow-programarkivet.

Så här kommer du åt Defender for IoT-programmet i ServiceNow:

1. Gå till ServiceNow-programarkivet.

2. Sök Defender for IoT efter eller CyberX IoT/ICS Management.

3. Välj programmet .

4. Välj Begär app.

5. Logga in och ladda ned programmet.

Konfigurera Defender för IoT för att kommunicera med ServiceNow

Konfigurera Defender för IoT för att skicka aviseringsinformation till ServiceNow-tabellerna. Defender för IoT-aviseringar visas i ServiceNow som säkerhetsincidenter. Detta kan göras genom att definiera en Defender for IoT-vidarebefordransregel för att skicka aviseringsinformation till ServiceNow.

Vidarebefordran av aviseringsregler körs endast på aviseringar som utlöses när vidarebefordringsregeln har skapats. Aviseringar som redan finns i systemet från innan vidarebefordringsregeln skapades påverkas inte av regeln.

Så här skickar du aviseringsinformation till ServiceNow-tabellerna:

1. Logga in på den lokala hanteringskonsolen och välj Vidarebefordran.

2. Välj + för att skapa en ny regel.

3. I fönstret Skapa vidarebefordransregel definierar du följande värden:

   Parameter	Description
   Namn	Ange ett beskrivande namn för vidarebefordringsregeln.
   Varning!	I den nedrullningsbara menyn väljer du den minsta säkerhetsnivåincident som ska vidarebefordras. Om minor till exempel har valts vidarebefordras mindre aviseringar och eventuella aviseringar över den här allvarlighetsnivån.
   Protokoll	Om du vill välja ett specifikt protokoll väljer du Specifikt och väljer det protokoll som den här regeln tillämpas för. Som standard är alla protokoll valda.
   Motorer	Om du vill välja en specifik säkerhetsmotor som den här regeln tillämpas för väljer du Specifik och väljer motorn. Som standard är alla säkerhetsmotorer inblandade.
   Systemaviseringar	Vidarebefordra sensorns online - och offlinestatus .
   Aviseringsaviseringar	Vidarebefordra sensorns aviseringar.

4. I området Åtgärder väljer du Lägg till och sedan ServiceNow. Till exempel:

   

5. Kontrollera att rapportaviseringar har valts.

6. I fönstret Åtgärder anger du följande parametrar:

   Parameter	Description
   Domän	Ange IP-adressen för ServiceNow-servern.
   Användarnamn	Ange användarnamnet för ServiceNow-servern.
   Lösenord	Ange lösenordet för ServiceNow-servern.
   Klient-ID	Ange det klient-ID som du fick för Defender för IoT på sidan Programregister i ServiceNow.
   Klienthemlighet	Ange den klienthemlighetssträng som du skapade för Defender för IoT på sidan Programregister i ServiceNow.
   Välj rapporttyp	Incidenter: Vidarebefordra en lista över aviseringar som visas i ServiceNow med ett incident-ID och en kort beskrivning av varje avisering. Defender för IoT-program: Vidarebefordra fullständig aviseringsinformation, inklusive sensorinformation, motorn, källan och måladresserna. Informationen vidarebefordras till Defender for IoT i ServiceNow-programmet.

7. Välj SPARA.

Defender för IoT-aviseringar visas nu som incidenter i ServiceNow.

Skapa åtkomsttoken i ServiceNow

En token krävs för att ServiceNow ska kunna kommunicera med Defender för IoT.

Du behöver och Client IDClient Secret som du angav när du skapade reglerna för Defender för IoT-vidarebefordran. Vidarebefordringsreglerna vidarebefordrar aviseringsinformation till ServiceNow och när du konfigurerar Defender för IoT för att skicka enhetsattribut till ServiceNow-tabeller.

Skicka Defender för IoT-enhetsattribut till ServiceNow

Konfigurera Defender för IoT för att push-överföra ett stort antal enhetsattribut till ServiceNow-tabellerna. Om du vill skicka attribut till ServiceNow måste du mappa den lokala hanteringskonsolen till en ServiceNow-instans. Detta säkerställer att Defender for IoT-plattformen kan kommunicera och autentisera med instansen.

Så här lägger du till en ServiceNow-instans:

1. Logga in på din lokala Hanteringskonsol för Defender for IoT.

2. Välj System Inställningar och sedan ServiceNow i avsnittet Hanteringskonsolintegrering.

3. Ange följande synkroniseringsparametrar i dialogrutan ServiceNow Sync.

   

   Parameter	Description
   Aktivera synkronisering	Aktivera och inaktivera synkroniseringen när du har definierat parametrar.
   Synkroniseringsfrekvens (minuter)	Som standard skickas information till ServiceNow var 60:e minut. Minst 5 minuter.
   ServiceNow-instans	Ange URL:en för ServiceNow-instansen.
   Klient-ID	Ange det klient-ID som du fick för Defender för IoT på sidan Programregister i ServiceNow.
   Klienthemlighet	Ange den klienthemlighetssträng som du skapade för Defender för IoT på sidan Programregister i ServiceNow.
   Användarnamn	Ange användarnamnet för den här instansen.
   Lösenord	Ange lösenordet för den här instansen.

4. Välj SPARA.

Kontrollera att den lokala hanteringskonsolen är ansluten till ServiceNow-instansen genom att granska datumet för senaste synkronisering.

Konfigurera integreringarna med hjälp av en HTTPS-proxy

När du konfigurerar Defender för IoT- och ServiceNow-integrering kommunicerar den lokala hanteringskonsolen och ServiceNow-servern med port 443. Om ServiceNow-servern finns bakom en proxyserver kan standardporten inte användas.

Defender för IoT stöder en HTTPS-proxy i ServiceNow-integreringen genom att aktivera ändringen av standardporten som används för integrering.

Så här konfigurerar du proxyn:

1. Redigera de globala egenskaperna i den lokala hanteringskonsolen med hjälp av följande kommando:

   sudo vim /var/cyberx/properties/global.properties
   

2. Lägg till följande parametrar:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. Välj Spara och avsluta.

4. Återställ den lokala hanteringskonsolen med följande kommando:

   sudo monit restart all
   

När konfigurationerna har angetts vidarebefordras alla ServiceNow-data med hjälp av den konfigurerade proxyn.

Visa Defender för IoT-identifieringar i ServiceNow

I den här artikeln beskrivs enhetsattribut och aviseringsinformation som visas i ServiceNow.

Så här visar du enhetsattribut:

1. Logga in på ServiceNow.

2. Gå till CyberX Platform.

3. Gå till Inventering eller Avisering.

Visa anslutna enheter

Så här visar du anslutna enheter:

1. Välj en enhet och välj sedan den enhet som anges i för den enheten.

2. I dialogrutan Enhetsinformation väljer du Anslut enheter.

Nästa steg

Integreringar med Microsoft och partnertjänster