ServiceNow を Microsoft Defender for IoT と統合する (レガシ)

この記事は、ServiceNow と Microsoft Defender for IoT を統合し、使用する方法を学ぶのに役立ちます。

Defender for IoT と ServiceNow を統合すると、IoT と OT のランドスケープで、一元的な可視性、監視、制御を実現できます。 このようにブリッジされたプラットフォームを使用することで、これまで到達できなかった ICS および IoT デバイスに対する、自動でのデバイス可視化と脅威管理が可能になります。

ServiceNow 構成管理データベース (CMDB) は、Defender for IoT プラットフォームによってプッシュされた一連の豊富なデバイス属性によって強化、補完されています。 これにより、デバイス ランドスケープを包括的かつ継続的に可視化できます。 可視化により、1 つのウィンドウから監視して対応できます。

この記事では、次の方法について説明します。

前提条件

開始する前に、以下の前提条件を満たしていることを確認してください。

ソフトウェア要件

• ServiceNow と Defender for IoT へのアクセス

  • ServiceNow サービス管理バージョン 3.0.2。
  • Defender for IoT パッチ 2.8.11.1 以降。

• 管理者ユーザーとして Defender for IoT OT センサーへアクセスする。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

Architecture

• オンプレミスの管理コンソールのアーキテクチャ: オンプレミスの管理コンソールを設定して、ServiceNow の 1 つのインスタンスと通信します。 オンプレミスの管理コンソールは、REST API を使用して、センサー データを Defender for IoT アプリケーションにプッシュします。

  オンプレミスの管理コンソールを使用するようにシステムを設定するには、設定されたすべてのセンサーの ServiceNow 同期、転送ルール、プロキシ構成を無効にする必要があります。

• センサー アーキテクチャ: センサーと ServiceNow の間の直接通信を含めるように環境を設定する場合は、センサーごとに ServiceNow 同期、転送ルール、プロキシ構成 (プロキシが必要な場合) を定義します。

ServiceNow で Defender for IoT アプリケーションをダウンロードする

ServiceNow 内で Defender for IoT アプリケーションにアクセスするには、ServiceNow アプリケーション ストアからアプリケーションをダウンロードする必要があります。

ServiceNow で Defender for IoT アプリケーションをダウンロードするには、次の手順を実行します。

1. ServiceNow アプリケーション ストアに移動します。

2. Defender for IoT または CyberX IoT/ICS Management を検索します。

3. アプリケーションを選択します。

4. [アプリのリクエスト] を選択します。

5. サインインしてアプリケーションをダウンロードします。

ServiceNow と通信するように Defender for IoT を設定する

アラート情報を ServiceNow テーブルにプッシュするように Defender for IoT を構成します。 Defenders for IoT のアラートは、セキュリティ インシデントとして ServiceNow に表示されます。 これは、アラート情報を ServiceNow に送信するための、Defender for IoT の転送ルールを定義することによって実現できます。

転送アラート ルールは、転送ルールの作成後にトリガーされたアラートに対してのみ実行されます。 転送ルールが作成される前にシステムに既に存在していたアラートは、ルールの影響を受けません。

ServiceNow テーブルにアラート情報をプッシュするには、次の手順を実行します。

1. オンプレミスの管理コンソールにサインインし、[転送] を選択します。

2. + を選択して、新しいルールを作成します。

3. [転送ルールの作成] ウィンドウで、次の値を定義します。

   パラメーター	内容
   名前	転送ルールにわかりやすい名前を入力します。
   警告	ドロップダウン メニューから、転送する最小セキュリティ レベルのインシデントを選択します。 たとえば、 [マイナー] が選択されている場合は、マイナー アラートとこの重大度レベルを超えるすべてのアラートが転送されます。
   プロトコル	特定のプロトコルを選択するには、 [固有] を選択し、このルールが適用されるプロトコルを選択します。 既定では、すべてのプロトコルが選択されます。
   エンジン	このルールが適用される特定のセキュリティ エンジンを選択するには、 [固有] を選択し、エンジンを選択します。 既定では、すべてのセキュリティ エンジンが含まれます。
   システム通知	センサーの "オンライン" と "オフライン" の状態を転送します。
   アラート通知	センサーのアラートを転送します。

4. [アクション] 領域で [追加] を選択し、[ServiceNow] を選択します。 たとえば次のような点です。

   

5. [Report Alert Notifications]( アラート通知のレポート) が選択されていることを確認します。

6. [操作] ペインで、次のパラメーターを設定します。

   パラメーター	説明
   [ドメイン]	ServiceNow サーバーの IP アドレスを入力します。
   ユーザー名	ServiceNow サーバーのユーザー名を入力します。
   パスワード	ServiceNow サーバーのパスワードを入力します。
   クライアント ID	ServiceNow の [Application Registries](アプリケーション レジストリ) ページで、Defender for IoT 用に受信したクライアント ID を入力します。
   クライアント シークレット	Defender for IoT 用に ServiceNow の [Application Registries](アプリケーション レジストリ) ページで作成したクライアント シークレット文字列を入力します。
   レポートの種類の選択	インシデント:ServiceNow に示されたアラートの一覧を、各アラートのインシデント ID と簡単な説明と共に転送します。 Defender for IoT アプリケーション: センサーの詳細、エンジン、ソース、宛先アドレスなどを含む、完全なアラート情報を転送します。 この情報は、ServiceNow アプリケーション上の Defender for IoT に転送されます。

7. [SAVE](保存) を選択します。

Defenders for IoT のアラートは、インシデントとして ServiceNow に表示されるようになります。

ServiceNow でアクセス トークンを作成する

ServiceNow が Defender for IoT と通信するには、トークンが必要です。

Defender for IoT 転送ルールを作成するときに入力した Client ID と Client Secret が必要になります。 転送ルールによりアラート情報が ServiceNow に転送されます。デバイス属性を ServiceNow のテーブルにプッシュするよう Defender for IoT を構成するときもです。

Defender for IoT デバイスの属性を ServiceNow に送信する

さまざまなデバイス属性を ServiceNow テーブルにプッシュするように Defender for IoT を構成します。 属性を ServiceNow に送信するには、オンプレミスの管理コンソールを ServiceNow インスタンスにマップする必要があります。 こうすることで、Defender for IoT プラットフォームからインスタンスへ通信し、認証できるようになります。

ServiceNow インスタンスを追加するには、次の手順を実行します。

1. Defender for IoT のオンプレミスの管理コンソールにサインインします。

2. 管理コンソールの [統合] セクションで、[システム設定]、[ServiceNow] の順に選択します。

3. [ServiceNow Sync](ServiceNow の同期) ダイアログ ボックスで、次の同期パラメーターを入力します。

   

   パラメーター	説明
   同期を有効にする	パラメーターを定義した後に同期を有効または無効にします。
   Sync Frequency (minutes) (同期の頻度 (分))	既定では、情報は 60 分ごとに ServiceNow にプッシュされます。 最小値は 5 分です。
   ServiceNow インスタンス	ServiceNow インスタンスの URL を入力します。
   クライアント ID	ServiceNow の [Application Registries](アプリケーション レジストリ) ページで、Defender for IoT 用に受信したクライアント ID を入力します。
   クライアント シークレット	Defender for IoT 用に ServiceNow の [Application Registries](アプリケーション レジストリ) ページで作成したクライアント シークレット文字列を入力します。
   ユーザー名	このインスタンスのユーザー名を入力します。
   パスワード	このインスタンスのパスワードを入力します。

4. [SAVE](保存) を選択します。

"最後の同期" が実行された日付を確認して、オンプレミスの管理コンソールが ServiceNow インスタンスに接続されていることを確認します。

HTTPS プロキシを使用して統合を設定する

Defender for IoT と ServiceNow の統合を設定する際、オンプレミスの管理コンソールと ServiceNow サーバーは、ポート 443 を使用して通信します。 ServiceNow サーバーがプロキシの内側にある場合、既定のポートは使用できません。

Defender for IoT では、統合に使用する規定のポートの変更を有効にすることで、ServiceNow 統合で HTTPS プロキシがサポートされるようになります。

プロキシを構成するには、次の手順を実行します。

1. 次のコマンドを使用して、オンプレミスの管理コンソールのグローバル プロパティを編集します。

   sudo vim /var/cyberx/properties/global.properties
   

2. 次のパラメーターを追加します:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. [保存して終了] を選択します。

4. 次のコマンドを使用して、オンプレミスの管理コンソールをリセットします。

   sudo monit restart all
   

構成が設定されると、構成されたプロキシを使用してすべての ServiceNow データが転送されます。

ServiceNow で Defender for IoT の検出を表示する

この記事では、ServiceNow に表示されるデバイス属性とアラート情報について説明します。

デバイス属性を表示するには、以下の手順を実行します。

1. ServiceNow にサインインします。

2. [CyberX Platform](CyberX プラットフォーム) に移動します。

3. [インベントリ] または [アラート] に移動します。

接続されたデバイスの表示

接続されているデバイスを表示するには、次の手順を実行します。

1. デバイスを選択してから、そのデバイスに一覧表示されている [アプライアンス] を選択します。

2. [デバイスの詳細] ダイアログ ボックスで、 [接続されているデバイス] を選択します。

次のステップ