整合 ServiceNow 與適用於 IoT 的 Microsoft Defender(舊版)
注意
ServiceNow 存放區現已提供新的 Operational Technology Manager 整合。 新的整合可簡化適用於IoT感測器設備的 Microsoft Defender、OT 資產、網路連線,以及 ServiceNow 營運技術 (OT) 數據模型的弱點。 檢查軟體版本,因為 ServiceNow 網站上可能提供此軟體的更新版本。
如需 ServiceNow 服務條款的支持連結和檔,請參閱 ServiceNow 的支援連結和檔。
適用於IoT的 Microsoft Defender 舊版與 ServiceNow 整合不會受到新整合的影響,Microsoft 將繼續支援它。
如需詳細資訊,請參閱新的 ServiceNow 整合,以及 ServiceNow 存放區上的 ServiceNow 檔:
本文可協助您瞭解如何整合及使用 ServiceNow 與適用於 IoT 的 Microsoft Defender。
適用於IoT的Defender與ServiceNow整合提供IoT和OT環境集中可見度、監視和控制功能。 這些網橋平臺可讓自動化裝置可見度和威脅管理,以存取先前無法連線的ICS和IoT裝置。
ServiceNow 組態管理資料庫 (CMDB) 已擴充並補充一組豐富的裝置屬性,由適用於IoT的Defender平臺推送。 這可確保裝置環境的完整且持續可見度。 此可見度可讓您從單一玻璃窗格進行監視和回應。
注意
適用於 IoT 的 Microsoft Defender 正式稱為 CyberX。 CyberX 的參考是指適用於IoT的Defender。
在本文中,您將學會如何:
- 在 ServiceNow 中下載適用於 IoT 的 Defender 應用程式
- 設定適用於IoT的Defender以與ServiceNow 通訊
- 在 ServiceNow 中建立存取令牌
- 將適用於IoT的Defender裝置屬性傳送至ServiceNow
- 使用 HTTPS Proxy 設定整合
- 在 ServiceNow 中檢視適用於 IoT 的 Defender 偵測
- 檢視連線的裝置
必要條件
開始之前,請確定您具備下列必要條件:
軟體需求
存取適用於IoT的ServiceNow和Defender
- ServiceNow 服務管理 3.0.2 版。
- 適用於 IoT 的 Defender 修補程式 2.8.11.1 或更新版本。
以 管理員 使用者身分存取適用於IoT OT的Defender感測器。 如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。
注意
如果您已經使用適用於IoT的Defender和ServiceNow整合,並使用內部部署管理控制台進行升級。 在此情況下,應該從 ServiceNow 清除適用於 IoT 的 Defender 感測器先前的數據。
架構
內部部署管理控制台架構:設定內部部署管理控制台以與 ServiceNow 的一個實例通訊。 內部部署管理主控台會使用 REST API 將感測器數據推送至適用於 IoT 的 Defender 應用程式。
若要將系統設定為使用內部部署管理控制台,您必須在已設定的任何感測器上停用 ServiceNow Sync、轉送規則和 Proxy 設定。
感測器架構:如果您想要設定環境以包含感測器與 ServiceNow 之間的直接通訊,則每個感測器都會定義 ServiceNow 同步處理、轉送規則和 Proxy 設定(如果需要 Proxy)。
注意
適用於 IoT 的 Defender 舊版整合會傳遞資產和警示的數據,但不會傳遞弱點數據。
在 ServiceNow 中下載適用於 IoT 的 Defender 應用程式
若要在 ServiceNow 中存取適用於 IoT 的 Defender 應用程式,您需要從 ServiceNow 應用程式存放區下載應用程式。
若要在 ServiceNow 中存取適用於 IoT 的 Defender 應用程式:
流覽至 ServiceNow 應用程式存放區。
Defender for IoT
搜尋或CyberX IoT/ICS Management
。選取 應用程式。
選取 [ 要求應用程式]。
登入並下載應用程式。
設定適用於IoT的Defender以與ServiceNow 通訊
設定適用於IoT的Defender,將警示資訊推送至ServiceNow資料表。 適用於 IoT 的 Defender 警示會在 ServiceNow 中顯示為安全性事件。 這可藉由定義適用於IoT的Defender轉送規則,將警示資訊傳送至ServiceNow來完成。
轉送警示規則只會在建立轉送規則之後觸發的警示上執行。 在建立轉送規則之前,系統中已有的警示不會受到規則的影響。
若要將警示資訊推送至 ServiceNow 數據表:
登入內部部署管理主控台,然後選取 [ 轉送]。
選取 + 以建立新規則。
在 [ 建立轉送規則 ] 窗格中,定義下列值:
參數 描述: 名稱 輸入有意義的轉送規則名稱。 警告 從下拉功能表中,選取要轉送的最低安全性層級事件。
例如,如果 已選取 Minor ,則會轉送此嚴重性層級以上的次要警示和任何警示。通訊協定 若要選取特定通訊協定,請選取 [特定],然後選取套用此規則的通訊協定。
根據預設,會選取所有通訊協定。引擎 若要選取套用此規則的特定安全性引擎,請選取 [ 特定],然後選取引擎。
根據預設,會涉及所有安全性引擎。系統通知 將感測器的在線和離線狀態轉送。 警示通知 轉寄感測器的警示。 在 [ 動作] 區域中,選取 [新增],然後選取 [ServiceNow]。 例如:
確認已 選取 [報告警示通知 ]。
在 [ 動作] 窗格中,設定下列參數:
參數 描述 網域 輸入 ServiceNow 伺服器 IP 位址。 使用者名稱 輸入 ServiceNow 伺服器用戶名稱。 密碼 輸入 ServiceNow 伺服器密碼。 用戶端識別碼 在 ServiceNow 的 [應用程式登錄] 頁面中,輸入您為適用於 IoT 的 Defender 收到的用戶端識別符 。 用戶端祕密 在 ServiceNow 的 [應用程式登錄] 頁面中,輸入您為適用於 IoT 的 Defender 建立的用戶端密碼字串。 選取報表類型 事件:轉送 ServiceNow 中呈現的事件識別碼和每個警示簡短描述的警示清單。
適用於 IoT 應用程式的 Defender:轉送完整的警示資訊,包括感測器詳細數據、引擎、來源和目的地位址。 此資訊會轉送至 ServiceNow 應用程式上的適用於IoT的Defender。選取 [ 儲存]。
適用於 IoT 的 Defender 警示現在會顯示為 ServiceNow 中的事件。
在 ServiceNow 中建立存取令牌
需要令牌,才能允許 ServiceNow 與適用於 IoT 的 Defender 通訊。
您在建立適用於 IoT 的 Defender 轉送規則時需要 Client ID
與 Client Secret
。 轉送規則會將警示信息轉送至 ServiceNow,以及設定適用於 IoT 的 Defender 將裝置屬性推送至 ServiceNow 數據表時。
將適用於IoT的Defender裝置屬性傳送至ServiceNow
設定適用於IoT的Defender,將廣泛的裝置屬性推送至ServiceNow資料表。 若要將屬性傳送至 ServiceNow,您必須將內部部署管理主控台對應至 ServiceNow 實例。 這可確保適用於IoT的Defender平臺可以與實例進行通訊和驗證。
若要新增 ServiceNow 實例:
登入適用於IoT的Defender內部部署管理主控台。
從 [管理控制台整合] 區段選取 [系統 設定],然後選取 [ServiceNow]。
在 [ServiceNow 同步處理] 對話框中輸入下列同步參數。
參數 描述 啟用同步處理 在定義參數之後啟用和停用同步處理。 同步頻率 (分鐘) 根據預設,資訊會每隔 60 分鐘推送至 ServiceNow。 最小值為 5 分鐘。 ServiceNow 實例 輸入 ServiceNow 實例 URL。 用戶端識別碼 在 ServiceNow 的 [應用程式登錄] 頁面中,輸入您為適用於 IoT 的 Defender 收到的用戶端識別符 。 用戶端祕密 在 ServiceNow 的 [應用程式登錄] 頁面中,輸入您為適用於 IoT 的 Defender 建立的用戶端密碼字串。 使用者名稱 輸入這個實例的用戶名稱。 密碼 輸入這個實例的密碼。 選取 [ 儲存]。
檢閱上次同步日期,確認內部部署管理控制台已連線到 ServiceNow 實例。
使用 HTTPS Proxy 設定整合
設定適用於IoT和ServiceNow的Defender整合時,內部部署管理控制台和ServiceNow 伺服器會使用埠443進行通訊。 如果 ServiceNow 伺服器位於 Proxy 後方,就無法使用預設埠。
適用於IoT的Defender支援 ServiceNow 整合中的 HTTPS Proxy,方法是啟用用於整合的預設埠變更。
若要設定 Proxy:
使用下列命令編輯內部部署管理控制臺上的全域屬性:
sudo vim /var/cyberx/properties/global.properties
新增下列參數:
servicenow.http_proxy.enabled=1
servicenow.http_proxy.ip=1.179.148.9
servicenow.http_proxy.port=59125
選取 [ 儲存並結束]。
使用下列命令重設內部部署管理主控台:
sudo monit restart all
設定組態之後,所有 ServiceNow 數據都會使用已設定的 Proxy 轉送。
在 ServiceNow 中檢視適用於 IoT 的 Defender 偵測
本文說明 ServiceNow 中顯示的裝置屬性和警示資訊。
若要檢視裝置屬性:
登入 ServiceNow。
流覽至 CyberX Platform。
流覽至 [清查] 或 [警示]。
檢視連線的裝置
若要檢視連線的裝置:
選取裝置,然後選取 該裝置中列出的設備 。
在 [裝置詳細數據] 對話框中,選取 連線 裝置。