Интеграция ServiceNow с Microsoft Defender для Интернета вещей (устаревшая версия)

Примечание.

Теперь в магазине ServiceNow доступна новая интеграция Operational Technology Manager. Данная новая интеграция упрощает работу устройств датчиков Microsoft Defender для Интернета вещей, ресурсов OT, сетевых подключений и поиск уязвимостей в модели данных операционных технологии (OT) ServiceNow. Проверьте версию программного обеспечения, так как более актуальные версии этого программного обеспечения, возможно, доступны на сайте ServiceNow.

Ознакомьтесь с материалами, представленными по вспомогательным ссылкам ServiceNow, и условиями предоставления услуг ServiceNow.

Устаревшая интеграция Microsoft Defender для Интернета вещей с ServiceNow не зависит от новых интеграций, и корпорация Майкрософт продолжит ее поддержку.

Дополнительные сведения см. в описании новых интеграции ServiceNow и документации по ServiceNow в хранилище ServiceNow:

• Соединитель Service Graph (SGC)
• Реагирование на уязвимости (VR)

В этой статье вы узнаете, как интегрировать и использовать ServiceNow с Microsoft Defender для Интернета вещей.

Интеграция Defender для Интернета вещей с ServiceNow обеспечивает централизованную видимость, мониторинг и управление ландшафтом Интернета вещей и OT. Эти мостовые платформы позволяют автоматизированной видимости устройств и управления угрозами ранее недоступными устройствами ICS и IoT.

База данных управления конфигурацией (CMDB) ServiceNow дополняется широким набором атрибутов устройств, передаваемых Defender для Интернета вещей. Это обеспечивает исчерпывающий и непрерывный обзор ландшафта устройств. Такой обзор позволяет выполнять мониторинг и реагировать с помощью унифицированной панели управления.

Примечание.

Microsoft Defender для Интернета вещей официально известен как CyberX. Ссылки на CyberX относятся к Defender для Интернета вещей.

Вы узнаете, как выполнять следующие задачи:

• Загрузка приложения Defender для Интернета вещей в ServiceNow
• Настройка подключения Defender для Интернета вещей к ServiceNow
• Создание токенов доступа в ServiceNow
• Отправка атрибутов устройства Defender для Интернета вещей в ServiceNow
• Настройка интеграции с помощью прокси-сервера HTTPS
• Просмотр обнаруженных угроз Defender для Интернета вещей в ServiceNow
• Просмотр подключенных устройств

Необходимые компоненты

Прежде чем приступить к работе, убедитесь, что у вас есть следующие необходимые компоненты:

Требования к программному обеспечению

• Доступ к ServiceNow и Defender для Интернета вещей.

  • ServiceNow Service Management, версия 3.0.2.
  • Defender для Интернета вещей, набор исправлений 2.8.11.1 и новее.

• Доступ к датчику OT Defender для Интернета вещей в качестве Администратора. Дополнительные сведения см. в разделе локальных пользователей и ролей для мониторинга OT с помощью Defender для Интернета вещей.

Примечание.

Если вы уже интегрировали Defender для Интернета вещей в ServiceNow, и выполняете обновление через локальную консоль, нужно удалить из ServiceNow полученные ранее данные датчиков Defender для Интернета вещей.

Архитектура

• Архитектура локальной консоли управления: локальную консоль управления можно подключить к одному экземпляру ServiceNow. Локальная консоль управления отправляет данные датчиков в приложение Defender для Интернета вещей с помощью REST API.

  Чтобы настроить систему для работы с локальными консоль управления, необходимо отключить конфигурации ServiceNow Sync, пересылки правил и прокси-серверов на всех датчиках, где они были настроены.

• Архитектура датчика: если вы хотите настроить среду с прямым подключением датчиков к ServiceNow, необходимо для каждого датчика определить параметры синхронизации ServiceNow, правила перенаправления и конфигурацию прокси-сервера (если требуется прокси-сервер).

Примечание.

Интеграция устаревших версий Defender для Интернета вещей передает данные для ресурсов и оповещений, но не передает данные об уязвимостях.

Загрузка приложения Defender для Интернета вещей в ServiceNow

Чтобы получить доступ к приложению Defender для Интернета вещей в ServiceNow, необходимо скачать приложение из хранилища приложений ServiceNow.

Чтобы получить доступ к приложению Defender для Интернета вещей в ServiceNow, выполните следующие действия.

1. Перейдите в магазин приложений ServiceNow.

2. Выполните поиск по запросу Defender for IoT или CyberX IoT/ICS Management.

3. Выберите приложение .

4. Нажмите Request App.

5. Войдите в систему и загрузите приложение.

Настройка подключения Defender для Интернета вещей к ServiceNow

Настройте отправку сведений об оповещениях от Defender для Интернета вещей в таблицы ServiceNow. Оповещения Defender для Интернета вещей отображаются в ServiceNow как инциденты безопасности. Для этого можно определить правило переадресации Defender для Интернета вещей, чтобы отправлять сведения об оповещениях в ServiceNow.

Правила переадресации оповещений выполняются только при активации оповещений после создания правила пересылки. Оповещения, уже созданные в системе до создания правила пересылки, не затрагиваются правилом.

Чтобы отправлять сведения об оповещениях в таблицы ServiceNow, выполните следующие действия.

1. Войдите в локальную консоль управления и выберите "Переадресация".

2. Выберите + , чтобы создать новое правило.

3. В области "Создание правила пересылки" определите следующие значения:

   Параметр	Описание:
   Имя	Введите понятное имя правила переадресации.
   Предупреждения	В раскрывающемся меню выберите минимальный уровень безопасности для переадресации. Например, если выбрано Низкая, то будут переадресовываться оповещения низкой степени серьезности и все оповещения выше этого уровня.
   Протоколы	Чтобы выбрать определенный протокол, выберите Специальный, а затем выберите протокол, к которому применяется это правило. По умолчанию выбраны все протоколы.
   Двигателей	Чтобы выбрать определенную подсистему безопасности, к которой применяется это правило, выберите Специальный, а затем выберите подсистему. По умолчанию все подсистемы безопасности задействованы.
   Системные уведомления	Переадресуйте состояние подключенный и автономный для датчика.
   Уведомления	Переадресация оповещений датчика.

4. В области "Действия" выберите "Добавить" и выберите ServiceNow. Например:

   

5. Убедитесь, что выбран параметр Уведомления об оповещениях.

6. На панели Действия задайте следующие параметры:

   Параметр	Описание
   Domain	Введите IP-адрес сервера ServiceNow.
   Username	Введите имя пользователя для доступа к серверу ServiceNow.
   Пароль	Введите пароль для доступа к серверу ServiceNow.
   Идентификатор клиента	Введите идентификатор клиента, полученный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow.
   Секрет клиента	Введите секрет клиента, созданный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow.
   Выбор типа отчета	Инциденты: пересылка списка оповещений, представленных в ServiceNow, с идентификатором инцидента и кратким описанием каждого оповещения. Приложение Defender для Интернета вещей: пересылка полных сведений об оповещениях, включая сведения о датчике, модуле, адресе источника и адресе назначения. Сведения пересылаются в Defender для Интернета вещей в приложении ServiceNow.

7. Щелкните Сохранить.

Теперь оповещения Defender для Интернета вещей будут отображаться как инциденты в ServiceNow.

Создание токенов доступа в ServiceNow

Чтобы разрешить ServiceNow обмен данными с Defender для Интернета вещей, необходим маркер.

Вам потребуется Client ID и Client Secret что вы ввели при создании правил пересылки Defender для Интернета вещей. Правила переадресации пересылают сведения об оповещениях в ServiceNow, а также при настройке отправки атрибутов устройств от Defender для Интернета вещей в таблицы ServiceNow.

Отправка атрибутов устройства Defender для Интернета вещей в ServiceNow

Настройте Defender для Интернета вещей для передачи широкого диапазона атрибутов устройств в таблицы ServiceNow. Чтобы передавать атрибуты в ServiceNow, необходимо связать локальную консоль управления с экземпляром ServiceNow. Это гарантирует, что платформа Defender для Интернета вещей сможет обмениваться данными с экземпляром и проходить проверку подлинности.

Чтобы добавить экземпляр ServiceNow, выполните следующие действия.

1. Войдите в локальную консоль управления Defender для Интернета вещей.

2. Выберите system Параметры, а затем ServiceNow в разделе интеграции с консолью управления.

3. Введите следующие параметры синхронизации в диалоговом окне "Синхронизация ServiceNow".

   

   Параметр	Описание
   Включение синхронизации	Включение и отключение синхронизации после определения параметров.
   Частота синхронизации (минуты)	По умолчанию данные передаются в ServiceNow один раз в 60 минут. Минимальное значение — 5 минут.
   Экземпляр ServiceNow	Введите URL-адрес экземпляра ServiceNow.
   Идентификатор клиента	Введите идентификатор клиента, полученный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow.
   Секрет клиента	Введите секрет клиента, созданный для Defender для Интернета вещей, на странице Application Registries (Реестр приложения) в ServiceNow.
   Username	Введите имя пользователя для этого экземпляра.
   Пароль	Введите пароль для этого экземпляра.

4. Щелкните Сохранить.

Убедитесь, что локальная консоль управления подключена к экземпляру ServiceNow, просмотрев дату последней синхронизации.

Настройка интеграций с помощью прокси-сервера HTTPS

При настройке интеграции Defender для Интернета вещей с ServiceNow локальная консоль управления и сервер ServiceNow обмениваются данными через порт 443. Если сервер ServiceNow находится за прокси-сервером, порт по умолчанию использовать нельзя.

Defender для Интернета вещей поддерживает прокси-сервер HTTPS в интеграции с ServiceNow и позволяет изменить порт по умолчанию, используемый для интеграции.

Чтобы настроить прокси-сервер, выполните следующие действия.

1. Измените глобальные свойства в локальной консоли управления с помощью следующей команды.

   sudo vim /var/cyberx/properties/global.properties
   

2. Добавьте следующие параметры:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. Нажмите Сохранить и выйти.

4. Сбросьте локальную консоль управления с помощью следующей команды.

   sudo monit restart all
   

После настройки все данные ServiceNow пересылаются с помощью настроенного прокси-сервера.

Просмотр обнаруженных угроз Defender для Интернета вещей в ServiceNow

В этой статье описываются атрибуты устройств и сведения об оповещениях, отображаемые в ServiceNow.

Чтобы просмотреть атрибуты устройств, выполните следующие действия.

1. Войдите в ServiceNow.

2. Перейдите на платформу CyberX.

3. Перейдите к разделу Данные инвентаризации или Оповещение.

Просмотр подключенных устройств

Чтобы просмотреть подключенные устройства:

1. Выберите устройство, а затем выберите Устройство в списке для этого устройства.

2. В диалоговом окне Сведения об устройстве выберите Подключенные устройства.

Следующие шаги

Интеграция с microsoft и партнерскими службами