Intégrer ServiceNow à Microsoft Defender for IoT (anciennement)
Notes
Une nouvelle intégration d’Operational Technology Manager est maintenant disponible dans le store de ServiceNow. La nouvelle intégration rationalise les appareils de capteur, les ressources OT, les connexions réseau et les vulnérabilités Microsoft Defender pour IoT avec le modèle de données OT (Operational Technology) de ServiceNow. Vérifiez la version du logiciel, car des versions plus récentes de ce logiciel peuvent être disponibles sur le site ServiceNow.
Veuillez lire les liens et la documentation complémentaires de ServiceNow concernant les conditions d’utilisation du service de ServiceNow.
L’intégration héritée de Microsoft Defender pour IoT à ServiceNow n’est pas affectée par les nouvelles intégrations et Microsoft continuera de la prendre en charge.
Pour plus d’informations, consultez les nouvelles intégrations ServiceNow et la documentation ServiceNow sur le magasin ServiceNow :
Cet article vous explique comment intégrer ServiceNow à Microsoft Defender pour IoT et comment l'utiliser.
L'intégration de Defender pour IoT avec ServiceNow offre une visibilité, une analyse et un contrôle centralisés pour le paysage IoT et OT. Ces plateformes reliées par un pont activent la visibilité automatisée des appareils et la gestion des menaces pour les appareils ICS et IoT qui n'étaient pas accessibles précédemment.
La base de données de gestion de la configuration (CMDB) de ServiceNow est enrichie et complétée par un ensemble complet d’attributs d’appareil qui sont envoyés (push) par la plateforme Defender pour IoT. Ceci garantit une visibilité complète et continue du paysage des appareils. Cette visibilité vous permet de superviser et de répondre depuis un volet unique.
Notes
Microsoft Defender pour IoT était officiellement connu sous le nom de CyberX. Les références à CyberX s’appliquent à Defender pour IoT.
Dans cet article, vous apprendrez comment :
- Télécharger l’application Defender pour IoT dans ServiceNow
- Configurer Defender pour IoT pour qu’il communique avec ServiceNow
- Créer des jetons d’accès dans ServiceNow
- Envoyer des attributs d’appareil Defender pour IoT à ServiceNow
- Configurer l’intégration en utilisant un proxy HTTPS
- Afficher les détections Defender pour IoT dans ServiceNow
- Afficher les unités connectées
Prérequis
Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :
Configuration logicielle requise
Accès à ServiceNow et à Defender pour IoT
- ServiceNow Service Management version 3.0.2.
- Correctif Defender pour IoT 2.8.11.1 ou ultérieur.
Accédez à un capteur OT Defender pour IoT en tant qu’utilisateur administrateur. Pour plus d’informations, consultez Utilisateurs et rôles locaux pour le monitoring OT avec Defender pour IoT.
Notes
Si vous utilisez déjà une intégration Defender pour IoT et ServiceNow et que vous effectuez une mise à niveau à l’aide de la console de gestion locale, les données précédentes des capteurs Defender pour IoT doivent être effacées de ServiceNow.
Architecture
Architecture de la console de gestion locale : Configurez une console de gestion locale pour communiquer avec une instance de ServiceNow. La console de gestion locale envoie (Push) les données de capteur à l’application Defender pour IoT à l’aide de l’API REST.
Pour configurer votre système pour qu'il fonctionne avec une console de gestion locale, vous devez désactiver les configurations de la synchronisation ServiceNow, des règles de transfert et du proxy sur les capteurs où elles ont été effectuées.
Architecture des capteurs : Si vous voulez configurer votre environnement pour inclure une communication directe entre les capteurs et ServiceNow, pour chaque capteur, définissez la configuration de la synchronisation ServiceNow, des règles de transfert et du proxy (si un proxy est nécessaire).
Remarque
L’intégration pour les versions héritées de Defender pour IoT transmet des données pour les ressources et les alertes, mais ne transmet pas les données de vulnérabilité.
Télécharger l’application Defender pour IoT dans ServiceNow
Pour accéder à l'application Defender pour IoT dans ServiceNow, vous devez télécharger l'application dans le magasin d'applications ServiceNow.
Pour accéder à l’application Defender pour IoT dans ServiceNow :
Accédez au Magasin d’applications ServiceNow.
Recherchez
Defender for IoT
ouCyberX IoT/ICS Management
.Sélectionnez l’application.
Sélectionnez Request App (Demander l’application).
Connectez-vous et téléchargez l’application.
Configurer Defender pour IoT pour qu’il communique avec ServiceNow
Configurez Defender pour IoT afin qu’il envoie les informations d’alerte aux tables ServiceNow. Les alertes Defender pour IoT apparaissent dans ServiceNow en tant qu'incidents de sécurité. Pour cela, définissez une règle de transfert Defender pour IoT afin d’envoyer les informations d’alerte à ServiceNow.
Les règles de transfert d’alerte s’exécutent uniquement sur les alertes déclenchées après la création de la règle de transfert. Les alertes qui étaient déjà présentes dans le système avant la création de la règle de transfert ne sont pas affectées par cette règle.
Pour envoyer les informations d’alerte aux tables ServiceNow :
Connectez-vous à la console de gestion locale et sélectionnez Transfert.
Sélectionnez + pour créer une nouvelle règle.
Dans le volet Créer une règle de transfert, définissez les valeurs suivantes :
Paramètre Description Nom Entrez un nom explicite pour la règle de transfert. Avertissement Dans le menu déroulant, sélectionnez l’incident de niveau de sécurité minimal à transférer.
Par exemple, si Minor est sélectionné, les alertes mineures et toute alerte de niveau de gravité supérieur à ce niveau seront transférées.Protocoles Pour sélectionner un protocole spécifique, sélectionnez Spécifique, puis sélectionnez le protocole pour lequel cette règle est appliquée.
Par défaut, tous les protocoles sont sélectionnés.Engines (Moteurs) Pour sélectionner un moteur de sécurité spécifique auquel cette règle est appliquée, sélectionnez Spécifique, puis sélectionnez le moteur.
Par défaut, tous les moteurs de sécurité sont impliqués.System Notifications (Notifications système) Transférez l’état en ligne et hors connexion du capteur. Notifications d’alerte Transférez les alertes du capteur. Dans la zone Actions, sélectionnez Ajouter, puis ServiceNow. Par exemple :
Vérifiez que l’option Notifications d’alerte de rapport est sélectionnée.
Dans le volet Actions, définissez les paramètres suivants :
Paramètre Description Domaine Entrez l’adresse IP du serveur ServiceNow. Nom d’utilisateur Entrez le nom d’utilisateur du serveur ServiceNow. Mot de passe Entrez le mot de passe du serveur ServiceNow. ID client Entrez l’ID client que vous avez reçu pour Defender pour IoT dans la page Registres des applications dans ServiceNow. Clé secrète client Entrez la chaîne de secret client que vous avez créée pour Defender pour IoT dans la page Registres des applications dans ServiceNow. Sélectionner un type de rapport Incidents : Transférer une liste des alertes présentées dans ServiceNow avec un ID d’incident et une brève description de chaque alerte.
Application Defender pour IoT : Transférer toutes les informations d’alerte, notamment les détails sur le capteur, le moteur, les adresses source et de destination. Les informations sont transférées à Defender pour IoT sur l’application ServiceNow.Sélectionnez SAVE (Enregistrer).
Les alertes Defender pour IoT vont maintenant apparaître en tant qu’incidents dans ServiceNow.
Créer des jetons d’accès dans ServiceNow
Un jeton est nécessaire pour autoriser à ServiceNow à communiquer avec Defender pour IoT.
Vous avec besoin de Client ID
et de Client Secret
que vous avez entrés lors de la création des règles de transfert de Defender pour IoT. Les règles de transfert transfèrent les informations d’alerte à ServiceNow, et lors de la configuration de Defender pour IoT pour envoyer les attributs d’appareil aux tables ServiceNow.
Envoyer des attributs d’appareil Defender pour IoT à ServiceNow
Configurez Defender pour IoT afin qu’il envoie un ensemble étendu d’attributs d’appareil aux tables ServiceNow. Pour envoyer des attributs à ServiceNow, vous devez mapper votre console de gestion locale à une instance ServiceNow. Cela garantit que la plateforme Defender pour IoT peut communiquer et s’authentifier auprès de l’instance.
Pour ajouter une instance ServiceNow :
Connectez-vous à votre console de gestion locale Defender pour IoT.
Sélectionnez Paramètres système, puis ServiceNow dans la section Intégrations de la console de gestion.
Entrez les paramètres de synchronisation suivants dans la boîte de dialogue de synchronisation ServiceNow.
Paramètre Description Activer la synchronisation Activez et désactivez la synchronisation après avoir défini les paramètres. Fréquence de synchronisation (minutes) Par défaut, les informations sont envoyées (Push) à ServiceNow toutes les 60 minutes. La valeur minimale est 5 minutes. Instance ServiceNow Entrez l’URL de l’instance ServiceNow. ID client Entrez l’ID client que vous avez reçu pour Defender pour IoT dans la page Registres des applications dans ServiceNow. Clé secrète client Entrez la chaîne de secret client que vous avez créée pour Defender pour IoT dans la page Registres des applications dans ServiceNow. Nom d’utilisateur Entrez le nom d’utilisateur pour cette instance. Mot de passe Entrez le mot de passe pour cette instance. Sélectionnez SAVE (Enregistrer).
Vérifiez que la console de gestion locale est connectée à l’instance ServiceNow en examinant la date de la dernière synchronisation.
Configurer les intégrations en utilisant un proxy HTTPS
Lors de la configuration de l’intégration de Defender pour IoT et ServiceNow, la console de gestion locale et le serveur ServiceNow communiquent à l’aide du port 443. Si le serveur ServiceNow se trouve derrière un proxy, le port par défaut ne peut pas être utilisé.
Defender pour IoT prend en charge un proxy HTTPS dans l’intégration ServiceNow en permettant la modification du port par défaut utilisé pour l’intégration.
Pour configurer le proxy :
Modifiez les propriétés globales sur la console de gestion locale en utilisant la commande suivante :
sudo vim /var/cyberx/properties/global.properties
Ajoutez les paramètres suivants :
servicenow.http_proxy.enabled=1
servicenow.http_proxy.ip=1.179.148.9
servicenow.http_proxy.port=59125
Sélectionnez Save and Exit (Enregistrer et quitter).
Réinitialisez la console de gestion locale en utilisant la commande suivante :
sudo monit restart all
Une fois les configurations définies, toutes les données ServiceNow sont transférées en utilisant le proxy configuré.
Afficher les détections Defender pour IoT dans ServiceNow
Cet article décrit les attributs d’appareil et les informations d’alerte présentés dans ServiceNow.
Pour visualiser les attributs d’appareil :
Connectez-vous à ServiceNow.
Accédez à Plateforme CyberX.
Accédez à Inventory (Inventaire) ou à Alert (Alerte).
Afficher les unités connectées
Pour afficher les appareils connectés :
Sélectionnez un appareil, puis sélectionnez l’Appliance listée pour cet appareil.
Dans la boîte de dialogue Détails de l’appareil, sélectionnez Appareils connectés.