Integrar o ServiceNow ao Microsoft Defender para IoT (legado)

  • Artigo

Nota

Uma nova integração do Operational Technology Manager está agora disponível na loja ServiceNow. A nova integração simplifica o Microsoft Defender para dispositivos de sensor IoT, ativos OT, conexões de rede e vulnerabilidades ao modelo de dados de Tecnologia Operacional (OT) da ServiceNow. Verifique a versão do software, pois versões mais atualizadas deste software podem estar disponíveis no site ServiceNow.

Por favor, leia os links de suporte e documentos do ServiceNow para os termos de serviço do ServiceNow.

A integração herdada do Microsoft Defender for IoT com o ServiceNow não é afetada pelas novas integrações e a Microsoft continuará a oferecer suporte a ela.

Para obter mais informações, consulte as novas integrações do ServiceNow e a documentação do ServiceNow no repositório ServiceNow:

Este artigo ajuda você a aprender como integrar e usar o ServiceNow com o Microsoft Defender para IoT.

A integração do Defender for IoT com o ServiceNow fornece visibilidade, monitoramento e controle centralizados para o cenário de IoT e OT. Essas plataformas em ponte permitem a visibilidade automatizada de dispositivos e o gerenciamento de ameaças para dispositivos ICS e IoT anteriormente inacessíveis.

O ServiceNow Configuration Management Database (CMDB) é enriquecido e complementado com um rico conjunto de atributos de dispositivo que são enviados pela plataforma Defender for IoT. Isso garante uma visibilidade abrangente e contínua do cenário do dispositivo. Esta visibilidade permite-lhe monitorizar e responder a partir de um único painel de vidro.

Nota

O Microsoft Defender para IoT era formalmente conhecido como CyberX. As referências ao CyberX referem-se ao Defender for IoT.

Neste artigo, vai aprender a:

  • Baixe o aplicativo Defender for IoT no ServiceNow
  • Configurar o Defender for IoT para se comunicar com o ServiceNow
  • Criar tokens de acesso no ServiceNow
  • Enviar atributos de dispositivo do Defender for IoT para ServiceNow
  • Configurar a integração usando um proxy HTTPS
  • Exibir deteções do Defender for IoT no ServiceNow
  • Ver dispositivos conectados

Pré-requisitos

Antes de começar, certifique-se de que tem os seguintes pré-requisitos:

Requisitos de software

Nota

Se você já estiver trabalhando com um Defender for IoT e ServiceNow, integre e atualize usando o console de gerenciamento local. Nesse caso, os dados anteriores dos sensores do Defender for IoT devem ser limpos do ServiceNow.

Arquitetura

  • Arquitetura do console de gerenciamento local: configure um console de gerenciamento local para se comunicar com uma instância do ServiceNow. O console de gerenciamento local envia dados do sensor para o aplicativo Defender for IoT usando a API REST.

    Para configurar seu sistema para funcionar com um console de gerenciamento local, você precisa desabilitar as configurações ServiceNow Sync, Forwarding Rules e Proxy em todos os sensores onde eles foram configurados.

  • Arquitetura do sensor: Se você quiser configurar seu ambiente para incluir comunicação direta entre sensores e ServiceNow, para cada sensor defina o ServiceNow Sync, as regras de encaminhamento e a configuração de proxy (se um proxy for necessário).

Nota

A integração para versões legadas do Defender for IoT transmitirá dados para ativos e alertas, mas não passará dados de vulnerabilidade.

Baixe o aplicativo Defender for IoT no ServiceNow

Para acessar o aplicativo Defender for IoT no ServiceNow, você precisa baixar o aplicativo do repositório de aplicativos ServiceNow.

Para acessar o aplicativo Defender for IoT no ServiceNow:

  1. Navegue até o repositório de aplicativos ServiceNow.

  2. Defender for IoT Procure ou CyberX IoT/ICS Management.

  3. Selecione a aplicação .

  4. Selecione Solicitar aplicativo.

  5. Inicie sessão e transfira a aplicação.

Configurar o Defender for IoT para se comunicar com o ServiceNow

Configure o Defender para IoT para enviar informações de alerta por push para as tabelas do ServiceNow. Os alertas do Defender for IoT aparecem no ServiceNow como incidentes de segurança. Isso pode ser feito definindo uma regra de encaminhamento do Defender for IoT para enviar informações de alerta ao ServiceNow.

As regras de alerta de encaminhamento são executadas somente em alertas acionados após a criação da regra de encaminhamento. Os alertas que já estão no sistema desde antes da criação da regra de encaminhamento não são afetados pela regra.

Para enviar informações de alerta por push para as tabelas ServiceNow:

  1. Entre no console de gerenciamento local e selecione Encaminhamento.

  2. Selecione + para criar uma nova regra.

  3. No painel Criar Regra de Encaminhamento, defina os seguintes valores:

    Parâmetro Description
    Nome Insira um nome significativo para a regra de encaminhamento.
    Aviso No menu suspenso, selecione o incidente de nível mínimo de segurança a ser encaminhado.
    Por exemplo, se Minor for selecionado, alertas menores e qualquer alerta acima desse nível de gravidade serão encaminhados.
    Protocolos Para selecionar um protocolo específico, selecione Específico e selecione o protocolo ao qual esta regra é aplicada.
    Por padrão, todos os protocolos são selecionados.
    Furgão Para selecionar um mecanismo de segurança específico ao qual essa regra é aplicada, selecione Específico e selecione o mecanismo.
    Por padrão, todos os mecanismos de segurança estão envolvidos.
    Notificações do sistema Encaminhe o status online e offline do sensor.
    Notificações de alerta Encaminhe os alertas do sensor.

  4. Na área Ações, selecione Adicionar e, em seguida, selecione ServiceNow. Por exemplo:

    Captura de ecrã da janela Criar Regra de Reencaminhamento.

  5. Verifique se a opção Notificações de alerta de relatório está selecionada.

  6. No painel Ações, defina os seguintes parâmetros:

    Parâmetro Description
    Domínio Insira o endereço IP do servidor ServiceNow.
    Nome de utilizador Digite o nome de usuário do servidor ServiceNow.
    Palavra-passe Digite a senha do servidor ServiceNow.
    ID de Cliente Insira a ID do Cliente que você recebeu para o Defender for IoT na página Registros de Aplicativos no ServiceNow.
    Segredo do Cliente Insira a cadeia de caracteres secreta do cliente que você criou para o Defender for IoT na página Registros de Aplicativos no ServiceNow.
    Selecionar tipo de relatório Incidentes: Encaminhe uma lista de alertas que são apresentados no ServiceNow com um ID de incidente e uma breve descrição de cada alerta.

    Aplicativo Defender for IoT: Encaminhe informações completas de alerta, incluindo os detalhes do sensor, o mecanismo, os endereços de origem e destino. As informações são encaminhadas para o Defender for IoT no aplicativo ServiceNow.

  7. Selecione SALVAR.

Os alertas do Defender for IoT agora aparecerão como incidentes no ServiceNow.

Criar tokens de acesso no ServiceNow

Um token é necessário para permitir que o ServiceNow se comunique com o Defender for IoT.

Você precisa do Client ID e Client Secret que inseriu ao criar as regras do Defender for IoT Forwarding. As regras de encaminhamento encaminham informações de alerta para o ServiceNow e ao configurar o Defender for IoT para enviar atributos de dispositivo para tabelas do ServiceNow.

Enviar atributos de dispositivo do Defender for IoT para ServiceNow

Configure o Defender for IoT para enviar por push uma ampla gama de atributos de dispositivo para as tabelas ServiceNow. Para enviar atributos para ServiceNow, você deve mapear seu console de gerenciamento local para uma instância ServiceNow. Isso garante que a plataforma Defender for IoT possa se comunicar e autenticar com a instância.

Para adicionar uma instância do ServiceNow:

  1. Entre no console de gerenciamento local do Defender for IoT.

  2. Selecione Configurações do Sistema e ServiceNow na seção Integrações do console de gerenciamento.

  3. Insira os seguintes parâmetros de sincronização na caixa de diálogo ServiceNow Sync.

    Captura de tela da caixa de diálogo de sincronização ServiceNow.

    Parâmetro Description
    Ativar sincronização Habilite e desative a sincronização depois de definir parâmetros.
    Frequência de sincronização (minutos) Por padrão, as informações são enviadas para o ServiceNow a cada 60 minutos. O mínimo é de 5 minutos.
    Instância ServiceNow Insira a URL da instância ServiceNow.
    ID de Cliente Insira a ID do Cliente que você recebeu para o Defender for IoT na página Registros de Aplicativos no ServiceNow.
    Segredo do Cliente Insira a cadeia de caracteres Segredo do Cliente que você criou para o Defender for IoT na página Registros de Aplicativos no ServiceNow.
    Nome de utilizador Insira o nome de usuário para esta instância.
    Palavra-passe Digite a senha para esta instância.

  4. Selecione SALVAR.

Verifique se o console de gerenciamento local está conectado à instância ServiceNow revisando a data da Última Sincronização.

Captura de tela da comunicação que ocorre observando a última sincronização.

Configurar as integrações usando um proxy HTTPS

Ao configurar a integração do Defender for IoT e ServiceNow, o console de gerenciamento local e o servidor ServiceNow se comunicam usando a porta 443. Se o servidor ServiceNow estiver atrás de um proxy, a porta padrão não poderá ser usada.

O Defender for IoT suporta um proxy HTTPS na integração ServiceNow, permitindo a alteração da porta padrão usada para integração.

Para configurar o proxy:

  1. Edite as propriedades globais no console de gerenciamento local usando o seguinte comando:

    sudo vim /var/cyberx/properties/global.properties

  2. Adicione os seguintes parâmetros:

    • servicenow.http_proxy.enabled=1

    • servicenow.http_proxy.ip=1.179.148.9

    • servicenow.http_proxy.port=59125

  3. Selecione Salvar e sair.

  4. Redefina o console de gerenciamento local usando o seguinte comando:

    sudo monit restart all

Depois que as configurações são definidas, todos os dados do ServiceNow são encaminhados usando o proxy configurado.

Exibir deteções do Defender for IoT no ServiceNow

Este artigo descreve os atributos do dispositivo e as informações de alerta apresentadas no ServiceNow.

Para visualizar os atributos do dispositivo:

  1. Faça login no ServiceNow.

  2. Navegue até CyberX Platform.

  3. Navegue até Inventário ou Alerta.

Ver dispositivos conectados

Para visualizar dispositivos conectados:

  1. Selecione um dispositivo e, em seguida, selecione o Aparelho listado para esse dispositivo.

  2. Na caixa de diálogo Detalhes do dispositivo, selecione Dispositivos conectados.

Próximos passos

Integrações com a Microsoft e serviços de parceiros