Integrare ServiceNow con Microsoft Defender per IoT (legacy)

Nota

Una nuova integrazione di Operational Technology Manager è ora disponibile dall'archivio ServiceNow. La nuova integrazione semplifica le appliance del sensore Microsoft Defender per IoT, gli asset OT, le connessioni di rete e le vulnerabilità per il modello di dati OT (Operational Technology) di ServiceNow. Controllare la versione del software, perché le versioni più aggiornate di questo software potrebbero essere disponibili nel sito ServiceNow.

Leggere i collegamenti e la documentazione di supporto di ServiceNow per le condizioni per il servizio di ServiceNow.

L'integrazione legacy di Microsoft Defender per IoT con ServiceNow non è influenzata dalle nuove integrazioni e Microsoft continuerà a supportarla.

Per altre informazioni, vedere le nuove integrazioni di ServiceNow e la documentazione di ServiceNow sull'archivio ServiceNow:

• Service Graph Connessione or (SGC)
• Risposta alla vulnerabilità (VR).

Questo articolo illustra come integrare e usare ServiceNow con Microsoft Defender per IoT.

L'integrazione di Defender per IoT con ServiceNow offre visibilità, monitoraggio e controllo centralizzati per il panorama IoT e OT. Queste piattaforme bridge consentono la visibilità automatica dei dispositivi e la gestione delle minacce ai dispositivi ICS e IoT non raggiungibili in precedenza.

Il database di gestione della configurazione di ServiceNow (CMDB) è arricchito e integrato con un set completo di attributi del dispositivo di cui viene eseguito il push dalla piattaforma Defender per IoT. In questo modo si garantisce una visibilità completa e continua nel panorama dei dispositivi. Questa visibilità consente di monitorare e rispondere da un singolo riquadro di vetro.

Nota

Microsoft Defender per IoT era formalmente noto come CyberX. I riferimenti a CyberX fanno riferimento a Defender per IoT.

In questo articolo vengono illustrate le operazioni seguenti:

• Scaricare l'applicazione Defender per IoT in ServiceNow
• Configurare Defender per IoT per comunicare con ServiceNow
• Creare token di accesso in ServiceNow
• Inviare attributi del dispositivo Defender per IoT a ServiceNow
• Configurare l'integrazione usando un proxy HTTPS
• Visualizzare i rilevamenti di Defender per IoT in ServiceNow
• Visualizzare i dispositivi connessi

Prerequisiti

Prima di iniziare, assicurarsi di disporre dei prerequisiti seguenti:

Requisiti software

• Accesso a ServiceNow e Defender per IoT

  • ServiceNow Service Management versione 3.0.2.
  • Defender per IoT patch 2.8.11.1 o versione successiva.

• Accesso a un sensore OT di Defender per IoT come utente Amministrazione. Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Nota

Se si lavora già con un'integrazione di Defender per IoT e ServiceNow e si esegue l'aggiornamento tramite la console di gestione locale. In tal caso, i dati precedenti dei sensori Defender per IoT devono essere cancellati da ServiceNow.

Architettura

• Architettura della console di gestione locale: configurare una console di gestione locale per comunicare con un'istanza di ServiceNow. La console di gestione locale esegue il push dei dati dei sensori nell'applicazione Defender per IoT usando l'API REST.

  Per configurare il sistema in modo che funzioni con una console di gestione locale, è necessario disabilitare le configurazioni di ServiceNow Sync, Forwarding Rules e Proxy in tutti i sensori in cui sono stati configurati.

• Architettura del sensore: se si vuole configurare l'ambiente in modo da includere la comunicazione diretta tra sensori e ServiceNow, per ogni sensore definire la sincronizzazione ServiceNow, le regole di inoltro e la configurazione del proxy (se è necessario un proxy).

Nota

L'integrazione per le versioni legacy di Defender per IoT passerà i dati per asset e avvisi, ma non passerà i dati delle vulnerabilità.

Scaricare l'applicazione Defender per IoT in ServiceNow

Per accedere all'applicazione Defender per IoT all'interno di ServiceNow, è necessario scaricare l'applicazione dall'archivio applicazioni ServiceNow.

Per accedere all'applicazione Defender per IoT in ServiceNow:

1. Passare all'archivio applicazioni ServiceNow.

2. Defender for IoT Cercare o CyberX IoT/ICS Management.

3. Selezionare l'applicazione .

4. Selezionare Richiedi app.

5. Accedere e scaricare l'applicazione.

Configurare Defender per IoT per comunicare con ServiceNow

Configurare Defender per IoT per eseguire il push delle informazioni sugli avvisi nelle tabelle di ServiceNow. Gli avvisi di Defender per IoT vengono visualizzati in ServiceNow come eventi imprevisti di sicurezza. A tale scopo, è possibile definire una regola di inoltro di Defender per IoT per inviare informazioni sugli avvisi a ServiceNow.

L'inoltro delle regole di avviso viene eseguito solo sugli avvisi attivati dopo la creazione della regola di inoltro. Gli avvisi già presenti nel sistema prima della creazione della regola di inoltro non sono interessati dalla regola.

Per eseguire il push delle informazioni sugli avvisi nelle tabelle ServiceNow:

1. Accedere alla console di gestione locale e selezionare Inoltro.

2. Selezionare + questa opzione per creare una nuova regola.

3. Nel riquadro Crea regola di inoltro definire i valori seguenti:

   Parametro	Description
   Nome	Immettere un nome significativo per la regola di inoltro.
   Avvertenza	Dal menu a discesa selezionare l'evento imprevisto minimo a livello di sicurezza da inoltrare. Ad esempio, se è selezionata l'opzione Secondaria , verranno inoltrati avvisi secondari e qualsiasi avviso superiore a questo livello di gravità.
   Protocolli	Per selezionare un protocollo specifico, selezionare Specifico e selezionare il protocollo per il quale viene applicata questa regola. Per impostazione predefinita, vengono selezionati tutti i protocolli.
   Motori	Per selezionare un motore di sicurezza specifico per il quale viene applicata questa regola, selezionare Specifico e selezionare il motore. Per impostazione predefinita, sono coinvolti tutti i motori di sicurezza.
   Notifiche di sistema	Inoltrare lo stato online e offline del sensore.
   Notifiche di avviso	Inoltrare gli avvisi del sensore.

4. Nell'area Azioni selezionare Aggiungi e quindi ServiceNow. Ad esempio:

   

5. Verificare che l'opzione Segnala notifiche avviso sia selezionata.

6. Nel riquadro Azioni impostare i parametri seguenti:

   Parametro	Descrizione
   Dominio	Immettere l'indirizzo IP del server ServiceNow.
   Nome utente	Immettere il nome utente del server ServiceNow.
   Password	Immettere la password del server ServiceNow.
   ID client	Immettere l'ID client ricevuto per Defender per IoT nella pagina Registri applicazioni in ServiceNow.
   Segreto client	Immettere la stringa del segreto client creata per Defender per IoT nella pagina Registri applicazioni in ServiceNow.
   Selezionare Tipo di report	Eventi imprevisti: inoltrare un elenco di avvisi presentati in ServiceNow con un ID evento imprevisto e una breve descrizione di ogni avviso. Applicazione Defender per IoT: inoltrare informazioni complete sugli avvisi, inclusi i dettagli del sensore, il motore, l'origine e gli indirizzi di destinazione. Le informazioni vengono inoltrate a Defender per IoT nell'applicazione ServiceNow.

7. Selezionare SAVE (SALVA).

Gli avvisi di Defender per IoT verranno ora visualizzati come eventi imprevisti in ServiceNow.

Creare token di accesso in ServiceNow

Per consentire a ServiceNow di comunicare con Defender per IoT, è necessario un token.

È necessario e Client IDClient Secret immesso durante la creazione delle regole di inoltro di Defender per IoT. Le regole di inoltro inoltrano le informazioni sugli avvisi a ServiceNow e quando si configura Defender per IoT per eseguire il push degli attributi del dispositivo nelle tabelle ServiceNow.

Inviare attributi del dispositivo Defender per IoT a ServiceNow

Configurare Defender per IoT per eseguire il push di un'ampia gamma di attributi del dispositivo nelle tabelle ServiceNow. Per inviare attributi a ServiceNow, è necessario eseguire il mapping della console di gestione locale a un'istanza di ServiceNow. In questo modo, la piattaforma Defender per IoT può comunicare ed eseguire l'autenticazione con l'istanza di .

Per aggiungere un'istanza di ServiceNow:

1. Accedere alla console di gestione locale di Defender per IoT.

2. Selezionare System Impostazioni e quindi ServiceNow nella sezione Integrazioni della console di gestione.

3. Immettere i parametri di sincronizzazione seguenti nella finestra di dialogo Sincronizzazione ServiceNow.

   

   Parametro	Descrizione
   Abilita sincronizzazione	Abilitare e disabilitare la sincronizzazione dopo la definizione dei parametri.
   Frequenza di sincronizzazione (minuti)	Per impostazione predefinita, le informazioni vengono inoltrate a ServiceNow ogni 60 minuti. Il minimo è 5 minuti.
   Istanza di ServiceNow	Immettere l'URL dell'istanza di ServiceNow.
   ID client	Immettere l'ID client ricevuto per Defender per IoT nella pagina Registri applicazioni in ServiceNow.
   Segreto client	Immettere la stringa Segreto client creata per Defender per IoT nella pagina Registri applicazioni in ServiceNow.
   Nome utente	Immettere il nome utente per questa istanza.
   Password	Immettere la password per questa istanza.

4. Selezionare SAVE (SALVA).

Verificare che la console di gestione locale sia connessa all'istanza di ServiceNow esaminando la data dell'ultima sincronizzazione.

Configurare le integrazioni usando un proxy HTTPS

Quando si configura l'integrazione di Defender per IoT e ServiceNow, la console di gestione locale e il server ServiceNow comunicano usando la porta 443. Se il server ServiceNow si trova dietro un proxy, non è possibile usare la porta predefinita.

Defender per IoT supporta un proxy HTTPS nell'integrazione di ServiceNow abilitando la modifica della porta predefinita usata per l'integrazione.

Per configurare il proxy:

1. Modificare le proprietà globali nella console di gestione locale usando il comando seguente:

   sudo vim /var/cyberx/properties/global.properties
   

2. Aggiungere i parametri seguenti:

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. Selezionare Salva e esci.

4. Reimpostare la console di gestione locale usando il comando seguente:

   sudo monit restart all
   

Dopo aver impostato le configurazioni, tutti i dati di ServiceNow vengono inoltrati usando il proxy configurato.

Visualizzare i rilevamenti di Defender per IoT in ServiceNow

Questo articolo descrive gli attributi del dispositivo e le informazioni sugli avvisi presentati in ServiceNow.

Per visualizzare gli attributi del dispositivo:

1. Accedere a ServiceNow.

2. Passare a CyberX Platform.

3. Passare a Inventario o Avviso.

Visualizzare i dispositivi connessi

Per visualizzare i dispositivi connessi:

1. Selezionare un dispositivo e quindi selezionare l'appliance elencata in per tale dispositivo.

2. Nella finestra di dialogo Dettagli dispositivo selezionare Dispositivi Connessione ed.

Passaggi successivi

Integrazioni con Microsoft e servizi partner