你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

将 ServiceNow 与 Microsoft Defender for IoT 集成（旧版）

注意

现在可从 ServiceNow 存储中获取新的操作技术管理器集成。 新的集成将 Microsoft Defender for IoT 传感器设备、OT 资产、网络连接和漏洞简化为 ServiceNow 的运营技术 (OT) 数据模型。 检查软件版本，因为 ServiceNow 站点上可能提供了此软件的更多最新版本。

请阅读 ServiceNow 的支持链接和文档，了解 ServiceNow 的服务条款。

Microsoft Defender for IoT 与 ServiceNow 的旧版集成不受新集成的影响，Microsoft 将继续支持它。

有关详细信息，请参阅新的 ServiceNow 集成，以及 ServiceNow 存储中的 ServiceNow 文档：

• Service Graph 连接器 (SGC)
• 漏洞响应 (VR)。

本文帮助你了解如何将 ServiceNow 与 Microsoft Defender for IoT 集成并配合使用。

Defender for IoT 与 ServiceNow 集成为 IoT 和 OT 布局提供了集中的可见性、监视和控制。 这些桥接平台实现了对以前无法访问的 ICS 和 IoT 设备的自动设备可见性和威胁管理。

ServiceNow 配置管理数据库 (CMDB) 通过一组由 Defender for IoT 平台推送的丰富的设备属性进行了扩充和补充。 这可确保全面并持续地洞察设备环境。 这样，你便可以在单个视图中进行监视和响应。

注意

Microsoft Defender for IoT 以前称为 CyberX。 有关 CyberX 的参考资料，请参阅 Defender for IoT。

在本文中，学习如何：

• 在 ServiceNow 中下载 Defender for IoT 应用程序
• 设置用于与 ServiceNow 通信的 Defender for IoT
• 在 ServiceNow 中创建访问令牌
• 将 Defender for IoT 设备属性发送到 ServiceNow
• 使用 HTTPS 代理设置集成
• 查看 ServiceNow 中的 Defender for IoT 检测
• 查看连接的设备

先决条件

在开始之前，请确保满足以下先决条件：

软件要求

• 可以访问 ServiceNow 和 Defender for IoT

  • ServiceNow 服务管理版本 3.0.2。
  • Defender for IoT 补丁 2.8.11.1 或更高版本。

• 以管理员用户身份访问 Defender for IoT OT 传感器。 有关详细信息，请参阅使用 Defender for IoT 进行 OT 监视的本地用户和角色。

注意

如果已在使用 Defender for IoT 和 ServiceNow 集成，并使用本地管理控制台进行升级。 在这种情况下，应从 ServiceNow 中清除 Defender for IoT 传感器的先前数据。

体系结构

• 本地管理控制台体系结构：设置本地管理控制台，以便与 ServiceNow 的一个实例进行通信。 本地管理控制台使用 REST API 将传感器数据推送到 Defender for IoT 应用程序。

  若要将系统设置为使用本地管理控制台，需要在设置了“ServiceNow 同步”、“转发规则”和“代理”配置的传感器中禁用这些配置。

• 传感器体系结构：如果要将环境设置为包括传感器与 ServiceNow 之间的直接通信，则为每个传感器定义“ServiceNow 同步”、“转发规则”和“代理”配置（如果需要代理）。

注意

Defender for IoT 旧版的集成将传递资产和警报的数据，但不会传递漏洞数据。

在 ServiceNow 中下载 Defender for IoT 应用程序

若要在 ServiceNow 中访问 Defender for IoT 应用程序，需要从 ServiceNow 应用商店下载该应用程序。

若要在 ServiceNow 中访问 Defender for IoT 应用程序，请执行以下操作：

1. 导航到 ServiceNow 应用商店。

2. 搜索 Defender for IoT 或 CyberX IoT/ICS Management。

3. 选择应用程序。

4. 选择“请求应用”。

5. 登录并下载该应用程序。

设置用于与 ServiceNow 通信的 Defender for IoT

配置 Defender for IoT 以将警报信息推送到 ServiceNow 表。 Defender for IoT 警报在 ServiceNow 中显示为安全事件。 要执行此操作，可以定义一个 Defender for IoT 转发规则，以将警报信息发送到 ServiceNow。

转发警报规则仅在创建转发规则后触发的警报上运行。 创建转发规则之前系统中已有的警报不受该规则的影响。

若要将警报信息推送到 ServiceNow 表，请执行以下操作：

1. 登录到本地管理控制台，然后选择“转发”。

2. 选择 + 以创建新规则。

3. 在“创建转发规则”窗格中，定义以下值：

   参数	说明
   名称	为转发规则输入一个有意义的名称。
   警告	从下拉菜单中，选择要转发的最低安全级别事件。 例如，如果选择“轻微”，则将转发轻微和高于此严重性级别的任何警报。
   协议	若要选择特定协议，选择“特定”，然后选择将应用此规则的协议。 默认情况下，所有协议都会被选中。
   引擎	若要选择要应用此规则的特定安全引擎，请选择“特定”，然后选择引擎。 默认情况下会涉及所有安全引擎。
   系统通知	转发传感器的“联机”和“脱机”状态 。
   警报通知	转发传感器的警报。

4. 在“操作”区域中，选择“添加”，然后选择“ServiceNow”。 例如：

   

5. 验证是否选择了“报表警报通知”。

6. 在“操作”窗格中，设置以下参数：

   参数	说明
   Domain	输入 ServiceNow 服务器 IP 地址。
   用户名	输入 ServiceNow 服务器用户名。
   密码	输入 ServiceNow 服务器密码。
   客户端 ID	在 ServiceNow 的“应用程序注册表”页中输入为 Defender for IoT 接收的客户端 ID。
   客户端机密	在 ServiceNow 的“应用程序注册表”页中输入为 Defender for IoT 创建的客户端密码字符串。
   选择报告类型	事件：转发 ServiceNow 中显示的具有事件 ID 和每个警报简短说明的警报的列表。 Defender for IoT 应用程序：转发完整警报信息，包括传感器详细信息、引擎、源和目标地址。 此信息将转发到 ServiceNow 应用程序上的 Defender for IoT。

7. 选择“保存”。

现在，Defender for IoT 警报将在 ServiceNow 中显示为事件。

在 ServiceNow 中创建访问令牌

要使 ServiceNow 能够与 Defender for IoT 通信，需要提供一个令牌。

需使用创建 Defender for IoT 转发规则时输入的 Client ID 和 Client Secret。 如果已将 Defender for IoT 配置为向 ServiceNow 表推送设备属性，转发规则会将警报信息转发到 ServiceNow。

将 Defender for IoT 设备属性发送到 ServiceNow

配置 Defender for IoT 以将各种设备属性推送到 ServiceNow 表。 若要将属性发送到 ServiceNow，必须将本地管理控制台映射到 ServiceNow 实例。 这可以确保 Defender for IoT 平台能够与该实例进行通信和身份验证。

若要添加 ServiceNow 实例，请执行以下操作：

1. 登录到 Defender for IoT 本地管理控制台。

2. 在“管理控制台集成”部分选择“系统设置”，然后选择“ServiceNow”。

3. 在“ServiceNow 同步”对话框中输入以下同步参数。

   

   参数	说明
   启用同步	在定义参数后启用和禁用同步。
   同步频率（分钟）	默认情况下，信息每 60 分钟推送到 ServiceNow。 最小值为 5 分钟。
   ServiceNow 实例	输入 ServiceNow 实例 URL。
   客户端 ID	在 ServiceNow 的“应用程序注册表”页中输入为 Defender for IoT 接收的客户端 ID。
   客户端机密	在 ServiceNow 的“应用程序注册表”页中输入为 Defender for IoT 创建的客户端密码字符串。
   用户名	输入此实例的用户名。
   密码	输入此实例的密码。

4. 选择“保存”。

通过查看“上次同步”日期，验证本地管理控制台是否已连接到 ServiceNow 实例。

使用 HTTPS 代理设置集成

设置 Defender for IoT 和 ServiceNow 集成时，本地管理控制台和 ServiceNow 服务器使用端口 443 进行通信。 如果 ServiceNow 服务器在代理后面，则不能使用默认端口。

Defender for IoT 通过启用对用于集成的默认端口的更改在 ServiceNow 集成中支持 HTTPS 代理。

若要配置代理，请执行以下操作：

1. 在本地管理控制台上使用以下命令编辑全局属性：

   sudo vim /var/cyberx/properties/global.properties
   

2. 添加以下参数：

   • servicenow.http_proxy.enabled=1

   • servicenow.http_proxy.ip=1.179.148.9

   • servicenow.http_proxy.port=59125

3. 选择“保存并退出”。

4. 使用以下命令重置本地管理控制台：

   sudo monit restart all
   

设置配置后，将使用配置的代理转发所有 ServiceNow 数据。

查看 ServiceNow 中的 Defender for IoT 检测

本文介绍 ServiceNow 中提供的设备属性和警报信息。

若要查看设备属性，请执行以下操作：

1. 登录到 ServiceNow。

2. 导航到“CyberX 平台”。

3. 导航到“清单”或“警报” 。

查看连接的设备

查看连接的设备：

1. 选择一个设备，然后选择为该设备列出的“设备”。

2. 在“设备详细信息”对话框中，选择“连接的设备”。

后续步骤

与 Microsoft 和合作伙伴服务集成