Delen via


ServiceNow integreren met Microsoft Defender for IoT (verouderd)

Notitie

Er is nu een nieuwe Operational Technology Manager-integratie beschikbaar vanuit de ServiceNow-winkel. De nieuwe integratie stroomlijnt Microsoft Defender for IoT-sensorapparaten, OT-assets, netwerkverbindingen en beveiligingsproblemen met het ot-gegevensmodel (Operational Technology) van ServiceNow. Controleer de softwareversie, omdat er meer actuele versies van deze software beschikbaar zijn op de ServiceNow-site.

Lees de ondersteunende koppelingen en documentatie van ServiceNow voor de servicevoorwaarden van ServiceNow.

De verouderde integratie van Microsoft Defender for IoT met ServiceNow wordt niet beïnvloed door de nieuwe integraties en Microsoft blijft deze ondersteunen.

Zie de nieuwe ServiceNow-integraties en de ServiceNow-documentatie in het ServiceNow-archief voor meer informatie:

In dit artikel leert u hoe u ServiceNow integreert en gebruikt met Microsoft Defender for IoT.

De Integratie van Defender for IoT met ServiceNow biedt gecentraliseerde zichtbaarheid, bewaking en controle voor het IoT- en OT-landschap. Deze overbrugde platforms maken geautomatiseerde zichtbaarheid van apparaten en bedreigingsbeheer mogelijk voor eerder onbereikbare ICS- en IoT-apparaten.

De ServiceNow Configuration Management Database (CMDB) is verrijkt en aangevuld met een uitgebreide set apparaatkenmerken die worden gepusht door het Defender for IoT-platform. Dit zorgt voor een uitgebreide en continue zichtbaarheid van het apparaatlandschap. Met deze zichtbaarheid kunt u één deelvenster met glas bewaken en erop reageren.

Notitie

Microsoft Defender for IoT werd formeel bekend als CyberX. Verwijzingen naar CyberX verwijzen naar Defender for IoT.

In dit artikel leert u het volgende:

  • De Defender for IoT-toepassing downloaden in ServiceNow
  • Defender for IoT instellen om te communiceren met ServiceNow
  • Toegangstokens maken in ServiceNow
  • Defender for IoT-apparaatkenmerken verzenden naar ServiceNow
  • De integratie instellen met behulp van een HTTPS-proxy
  • Defender for IoT-detecties weergeven in ServiceNow
  • Verbonden apparaten weergeven

Vereisten

Voordat u begint, moet u ervoor zorgen dat u aan de volgende vereisten voldoet:

Softwarevereisten

Notitie

Als u al met een Defender for IoT- en ServiceNow-integratie werkt en een upgrade uitvoert met behulp van de on-premises beheerconsole. In dat geval moeten de vorige gegevens van Defender for IoT-sensoren worden gewist uit ServiceNow.

Architectuur

  • Architectuur van de on-premises beheerconsole: stel een on-premises beheerconsole in om te communiceren met één exemplaar van ServiceNow. De on-premises beheerconsole pusht sensorgegevens naar de Defender for IoT-toepassing met behulp van REST API.

    Als u uw systeem wilt instellen voor gebruik met een on-premises beheerconsole, moet u de configuraties van ServiceNow Sync, Forwarding en Proxy uitschakelen op sensoren waar ze zijn ingesteld.

  • Sensorarchitectuur: Als u uw omgeving wilt instellen om directe communicatie tussen sensoren en ServiceNow op te nemen, definieert u voor elke sensor de ServiceNow Sync, Forwarding-regels en proxyconfiguratie (als er een proxy nodig is).

Notitie

De integratie voor oudere versies van Defender for IoT geeft gegevens door voor assets en waarschuwingen, maar geeft geen gegevens over beveiligingsproblemen door.

De Defender for IoT-toepassing downloaden in ServiceNow

Voor toegang tot de Defender for IoT-toepassing in ServiceNow moet u de toepassing downloaden uit de ServiceNow-toepassingsopslag.

Toegang krijgen tot de Defender for IoT-toepassing in ServiceNow:

  1. Navigeer naar het ServiceNow-toepassingsarchief.

  2. Defender for IoT Zoek of CyberX IoT/ICS Management.

  3. Selecteer de -toepassing.

  4. Selecteer App aanvragen.

  5. Meld u aan en download de toepassing.

Defender for IoT instellen om te communiceren met ServiceNow

Configureer Defender for IoT om waarschuwingsgegevens naar de ServiceNow-tabellen te pushen. Defender for IoT-waarschuwingen worden in ServiceNow weergegeven als beveiligingsincidenten. Dit kan worden gedaan door een Defender for IoT-doorstuurregel te definiëren om waarschuwingsinformatie naar ServiceNow te verzenden.

Waarschuwingsregels voor doorsturen worden alleen uitgevoerd op waarschuwingen die worden geactiveerd nadat de doorstuurregel is gemaakt. Waarschuwingen die al in het systeem aanwezig zijn voordat de doorstuurregel is gemaakt, worden niet beïnvloed door de regel.

Waarschuwingsgegevens naar de ServiceNow-tabellen pushen:

  1. Meld u aan bij de on-premises beheerconsole en selecteer Doorsturen.

  2. Selecteer + deze optie om een nieuwe regel te maken.

  3. Definieer in het deelvenster Doorstuurregel maken de volgende waarden:

    Parameter Omschrijving
    Naam Voer een betekenisvolle naam in voor de doorstuurregel.
    Waarschuwing Selecteer in de vervolgkeuzelijst het minimale beveiligingsniveauincident dat u wilt doorsturen.
    Als secundaire waarschuwingen bijvoorbeeld zijn geselecteerd, worden secundaire waarschuwingen en eventuele waarschuwingen boven dit ernstniveau doorgestuurd.
    Protocollen Als u een specifiek protocol wilt selecteren, selecteert u Specifiek en selecteert u het protocol waarvoor deze regel wordt toegepast.
    Standaard worden alle protocollen geselecteerd.
    Engines Als u een specifieke beveiligingsengine wilt selecteren waarvoor deze regel wordt toegepast, selecteert u Specifiek en selecteert u de engine.
    Standaard zijn alle beveiligingsengines betrokken.
    Systeemmeldingen De online- en offlinestatus van de sensor doorsturen.
    Waarschuwingsmeldingen De waarschuwingen van de sensor doorsturen.
  4. Selecteer Toevoegen in het gebied Acties en selecteer Vervolgens ServiceNow. Voorbeeld:

    Schermopname van het venster Doorstuurregel maken.

  5. Controleer of meldingsmeldingen voor rapporten zijn geselecteerd.

  6. Stel in het deelvenster Acties de volgende parameters in:

    Parameter Description
    Domein Voer het IP-adres van de ServiceNow-server in.
    Gebruikersnaam Voer de gebruikersnaam van de ServiceNow-server in.
    Wachtwoord Voer het wachtwoord van de ServiceNow-server in.
    Client ID Voer de client-id in die u hebt ontvangen voor Defender for IoT op de pagina Toepassingsregisters in ServiceNow.
    Client Secret Voer de tekenreeks voor het clientgeheim in die u hebt gemaakt voor Defender for IoT op de pagina Toepassingsregisters in ServiceNow.
    Rapporttype selecteren Incidenten: Stuur een lijst met waarschuwingen door die worden weergegeven in ServiceNow met een incident-id en een korte beschrijving van elke waarschuwing.

    Defender for IoT-toepassing: volledige waarschuwingsinformatie doorsturen, inclusief de sensordetails, de engine, de bron- en doeladressen. De informatie wordt doorgestuurd naar defender for IoT in de ServiceNow-toepassing.
  7. Selecteer SAVE (Opslaan).

Defender for IoT-waarschuwingen worden nu weergegeven als incidenten in ServiceNow.

Toegangstokens maken in ServiceNow

Er is een token nodig om ServiceNow te laten communiceren met Defender for IoT.

U hebt het Client ID en Client Secret dat u hebt ingevoerd bij het maken van de Defender for IoT Forwarding-regels. De regels voor doorsturen sturen waarschuwingsinformatie door naar ServiceNow en bij het configureren van Defender for IoT om apparaatkenmerken naar ServiceNow-tabellen te pushen.

Defender for IoT-apparaatkenmerken verzenden naar ServiceNow

Configureer Defender for IoT om een uitgebreid scala aan apparaatkenmerken naar de ServiceNow-tabellen te pushen. Als u kenmerken naar ServiceNow wilt verzenden, moet u uw on-premises beheerconsole toewijzen aan een ServiceNow-exemplaar. Dit zorgt ervoor dat het Defender for IoT-platform kan communiceren en verifiëren met het exemplaar.

Een ServiceNow-exemplaar toevoegen:

  1. Meld u aan bij de on-premises beheerconsole van Defender for IoT.

  2. Selecteer System Instellingen en vervolgens ServiceNow in de sectie Integraties van de beheerconsole.

  3. Voer de volgende synchronisatieparameters in het dialoogvenster ServiceNow Sync in.

    Schermopname van het dialoogvenster ServiceNow-synchronisatie.

    Parameter Description
    Synchronisatie inschakelen Schakel de synchronisatie in en uit na het definiëren van parameters.
    Synchronisatiefrequentie (minuten) Standaard wordt elke 60 minuten informatie naar ServiceNow gepusht. Het minimum is 5 minuten.
    ServiceNow-exemplaar Voer de URL van het ServiceNow-exemplaar in.
    Client ID Voer de client-id in die u hebt ontvangen voor Defender for IoT op de pagina Toepassingsregisters in ServiceNow.
    Client Secret Voer de tekenreeks clientgeheim in die u hebt gemaakt voor Defender for IoT op de pagina Toepassingsregisters in ServiceNow.
    Gebruikersnaam Voer de gebruikersnaam voor dit exemplaar in.
    Wachtwoord Voer het wachtwoord voor dit exemplaar in.
  4. Selecteer SAVE (Opslaan).

Controleer of de on-premises beheerconsole is verbonden met het ServiceNow-exemplaar door de datum van laatste synchronisatie te controleren.

Schermopname van de communicatie die plaatsvindt door naar de laatste synchronisatie te kijken.

De integraties instellen met behulp van een HTTPS-proxy

Bij het instellen van de Integratie van Defender for IoT en ServiceNow communiceren de on-premises beheerconsole en de ServiceNow-server via poort 443. Als de ServiceNow-server zich achter een proxy bevindt, kan de standaardpoort niet worden gebruikt.

Defender for IoT ondersteunt een HTTPS-proxy in de ServiceNow-integratie door de wijziging van de standaardpoort in te schakelen die wordt gebruikt voor integratie.

De proxy configureren:

  1. Bewerk de globale eigenschappen in de on-premises beheerconsole met behulp van de volgende opdracht:

    sudo vim /var/cyberx/properties/global.properties
    
  2. Voeg de volgende parameters toe:

    • servicenow.http_proxy.enabled=1

    • servicenow.http_proxy.ip=1.179.148.9

    • servicenow.http_proxy.port=59125

  3. Selecteer Opslaan en afsluiten.

  4. Stel de on-premises beheerconsole opnieuw in met behulp van de volgende opdracht:

    sudo monit restart all
    

Nadat de configuraties zijn ingesteld, worden alle ServiceNow-gegevens doorgestuurd met behulp van de geconfigureerde proxy.

Defender for IoT-detecties weergeven in ServiceNow

In dit artikel worden de apparaatkenmerken en waarschuwingsgegevens beschreven die worden weergegeven in ServiceNow.

Apparaatkenmerken weergeven:

  1. Meld u aan bij ServiceNow.

  2. Navigeer naar CyberX Platform.

  3. Navigeer naar Inventaris of Waarschuwing.

Verbonden apparaten weergeven

Verbonden apparaten weergeven:

  1. Selecteer een apparaat en selecteer vervolgens het apparaat dat voor dat apparaat wordt vermeld.

  2. Selecteer Verbinding maken ed Devices in het dialoogvenster Apparaatdetails.

Volgende stappen