Freigeben über

ServiceNow-Plug-In für Microsoft Security Copilot

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

ServiceNow ist ein Unternehmens-App-Ökosystem, das als SaaS-Anwendung bereitgestellt wurde, um Geschäftsprozesse zu verbinden und zu automatisieren. Viele Security Operation Center (SOCs) verwenden ServiceNow als Teil ihres Incident management-Flows und erweitern häufig die Kernfunktionalität um Anpassungen, Integrationen und sicherheitsspezifische Anwendungen.

Das Copilot for Security-Plug-In für ServiceNow ermöglicht die Konnektivität zwischen einer Security Copilot-Sitzung und einer ServiceNow Incidentwarteschlange. Benutzer können einen ServiceNow Incident in Copilot for Security importieren. Benutzer können problemlos Daten aus Microsoft-Sicherheitsprodukten wie Defender für Endpunkt korrelieren, mit externen Threat Intelligence-Informationen anreichern und die Ergebnisse ihrer Untersuchung in ServiceNow speichern. Diese Funktionen in Kombination mit der erzählerischen Aufforderung und der generativen KI, die von Azure OpenAI unterstützt werden, helfen, die Lösung von Vorfällen zu beschleunigen. Diese Funktionen helfen auch den Teammitgliedern bei der Weiterqualifikation und bieten umfassendere Einblicke in sicherheitsrelevante Vorfälle.

Klare Ideen vor dem Loslegen

Voraussetzungen

  • Unterstützte Produkte (Cloud):
    • ServiceNow ITSM-Paket (IT Service Management) – Anwendung zur Reaktion auf Vorfälle
    • ServiceNow Security Operations-Paket (SecOps) – Anwendung zur Reaktion auf Sicherheitsvorfälle
  • Zugriff auf Ihre ServiceNow instance mit Berechtigungen zum Erstellen neuer Benutzer
  • Berechtigungen zum Einrichten von Plug-Ins
  • Verfügbares ServiceNow API-Kontingent

ServiceNow Setup

Es gibt zwei Konnektivitätsmethoden für ServiceNow:

Wählen Sie das, das Ihren Anforderungen entspricht.

OAuth-Autorisierungscode-Genehmigungsflow (ServiceNow eingehende Integration) – Empfohlen

Hinweis

Bevor Sie beginnen, stellen Sie sicher, dass Sie über die Administratorberechtigung ServiceNow und die berechtigung Security Copilot Besitzer oder Mitwirkender verfügen.

  1. Stellen Sie sicher, dass das OAuth-Plug-In aktiv und die OAuth-Aktivierungseigenschaft auf true festgelegt ist. Folgen Sie den Links, um beide zu aktivieren, wenn sie nicht standardmäßig aktiviert sind.

  2. Greifen Sie auf Ihre ServiceNow instance zu, und erstellen Sie ein neues Anwendungsregistrierungsobjekt, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu System OAuth-Anwendungsregistrierung>, und wählen Sie Neu aus.

    2. Wählen Sie OAuth-API-Endpunkt für externe Clients erstellen aus.

      Abbildung der Art von OAuth-Anwendung

    3. Geben Sie einen Namen ein, der die Security Copilot Integration identifiziert.

    4. Geben Sie den Umleitungs-URI ein, der dem Security Copilot instance entspricht, z. Bhttps://securitycopilot.microsoft.com/auth/v1/callback. .

    5. Weisen Sie einen Authentifizierungsbereich zu, der Ihren Zugriffssteuerungsanforderungen entspricht. Der Benutzerkontobereich würde ausreichen.

    6. Speichern Sie das Anwendungsregistrierungsobjekt.

    7. Notieren Sie sich im neu erstellten Objekt die Client-ID und den geheimen Clientschlüssel.

    8. Dieses OAuth-Setup sollte nur einmal pro ServiceNow instance erfolgen. Das resultierende OAuth-Anwendungsregistrierungsobjekt kann von verschiedenen Benutzern mehrmals verwendet werden.

HTTP Basic-Authentifizierung

  1. Greifen Sie auf Ihre ServiceNow instance zu, und suchen Sie die Option zum Erstellen eines neuen Benutzers:

    1. Navigieren Sie auf der ServiceNow-Plattform zu Ermittlungsanmeldeinformationen>.
    2. Wählen Sie Neu aus, um einen neuen Anmeldeinformationsdatensatz zu erstellen.
    3. Wählen Sie Standardauthentifizierung als Anmeldeinformationstyp aus. Geben Sie die folgenden Details ein:
      1. Namen: Beschreibender Name für die Anmeldeinformationen.
      2. Nutzername: Benutzername für die Authentifizierung.
      3. Passwort: Kennwort für die Authentifizierung.
      4. Speichern Sie die Anmeldeinformationen.

  2. Weisen Sie dem Benutzernamen die itil Rollen und rest_api_explorer zu:

    1. Navigieren Sie zu Benutzerverwaltung > Benutzer.
    2. Suchen Sie nach dem erstellten Benutzernamen, und wählen Sie es aus.
    3. Wählen Sie in der Liste Rollen bezogen die Option Bearbeiten aus.
    4. Fügen Sie itil die Rollen und rest_api_explorer aus der Liste der verfügbaren Rollen hinzu.
    5. Speichern Sie die Rollenzuweisungen.

  3. Notieren Sie sich die Anmeldeinformationen und die ServiceNow instance URL.

Security Copilot Verbindung

  1. Melden Sie sich bei Microsoft Security Copilot an.

  2. Greifen Sie auf Plug-Ins verwalten zu, indem Sie in der Eingabeaufforderungsleiste auf die Schaltfläche Quellen klicken.

    Abbildung der Einrichtung von ServiceNow im Bereich

  3. Wählen Sie neben ServiceNow die Option Einrichten aus.

    Abbildung der Einrichtung von ServiceNow Teil 1

    Hinweis

    Stellen Sie sicher, dass Sie ganz nach unten scrollen, um andere Felder wie Bereiche zu erreichen.

    Abbildung der Einrichtung von ServiceNow Teil 2

  4. Erteilen Sie der Security Copilot-Anwendung ihre Zustimmung, damit Sie auf Ihre ServiceNow instance zugreifen können.

    Abbildung des Erteilens der Zustimmung zur Verbindung.

  5. Anweisungen für OAuth-authorization_code

    1. Geben Sie Authentifizierungsparameter ein, die dem zuvor erstellten Anwendungsregistrierungsobjekt entsprechen.
    2. Die instance URL, die Client-ID und der geheime Clientschlüssel entsprechen den Werten desselben Namens im Anwendungsregistrierungsobjekt. In der folgenden Tabelle können Sie ermitteln, was für die einzelnen Werte eingegeben werden soll:
    Name der Einstellung Beschreibung Beispiel
    Standardvorfalltyp Incidenttyp, der standardmäßig verwendet wird, wenn der Typ nicht in Eingabeaufforderungen angegeben wird. Muss eine der folgenden Sein: INC oder SIR INC oder SIR
    Instance Auf die ServiceNow instance-URL festlegen https://xyz.service-now.com/
    ClientId Auf Client-ID in ServiceNow Anwendungsregistrierungsobjekt festlegen
    ClientSecret Auf geheimen Clientschlüssel in ServiceNow Anwendungsregistrierungsobjekt festlegen
    AuthorizationEndpoint Auf https://<service-now-instance-domain>/oauth_auth.do festlegen. https://xyz.service-now.com/ oauth_auth.do
    TokenEndpoint Legen Sie auf fest. https://<service-now-instance-domain>/oauth_token.do. https://xyz.service-now.com/ oauth_token.do
    Scopes Legen Sie auf die Bereiche fest, die im ServiceNow Anwendungsregistrierungsobjekt definiert sind. Mehrere Bereiche, die durch Trennzeichen getrennt sind. Benutzerkonto
    AuthorizationContentType Sollte gegenüber der Standardanwendung unverändert bleiben/x-www-form-urlencoded application/x-www-form-urlencoded
    Ressource Ressourcen-ID Kann leer gelassen werden

  6. Wählen Sie Speichern oder Verbinden aus, um das Setup abzuschließen.

    Hinweis

    Derzeit überprüft das System Ihre Anmeldeinformationen nicht, wenn Sie Ihre Einstellungen speichern. Wenn sie nicht korrekt sind, wird später ein Fehler angezeigt, wenn Security Copilot versucht, das ServiceNow-Plug-In aufzurufen.

  7. Schließen Sie das Plug-In-Fenster.

Beispiel für ServiceNow-Eingabeaufforderungen

Security Copilot arbeitet in erster Linie mit Eingabeaufforderungen in natürlicher Sprache. Wenn Sie bereit sind, einen Incident in Ihre Security Copilot-Sitzung zu laden oder nach verwandten ServiceNow Incidents zu suchen, senden Sie eine Eingabeaufforderung, die Security Copilot führt, um den ServiceNow Skillsatz auszuwählen und den richtigen Skill aufzurufen.

Stellen Sie bei der Eingabeaufforderung sicher, dass Sie Erwähnung ServiceNow als bevorzugte Quelle ihres Incidents sind. Security Copilot können eine Verbindung mit mehreren Systemen herstellen, die jeweils Incidents bereitstellen, und sie profitieren von Anleitungen zur bevorzugten Quelle.

Beispielaufforderungen für Incidentabfragen:

  • "INC12345 ServiceNow laden"
  • "Welche ServiceNow Incidents beziehen sich auf die IP-Adresse 10.0.0.1?"
  • "Show me recent high severity ServiceNow incidents( Show me recent high severity ServiceNow incidents)
  • "Details zum dritten Vorfall anzeigen"
  • Wie lautet die MDTI-Zuverlässigkeitsbewertung für diese IP-Adressen?
  • "Schreiben Sie einen Link zu dieser Copilot-Untersuchung zu ServiceNow Incident INC12345"
  • "Schreiben Sie den folgenden Text in diesen ServiceNow Incident: Mit Security Copilot untersucht und neue Erkennungslogik bereitgestellt."
  • "Schreiben Sie eine Zusammenfassung dieser Untersuchung, um ServiceNow Incident INC12345"
  • "Fassen Sie diese Untersuchung zusammen, und schreiben Sie sie als Kommentar zum ServiceNow Vorfalls."

Anfügen von Kommentaren an ServiceNow Incidents

Wenn diese Option mit den entsprechenden Berechtigungen aktiviert ist, kann der ServiceNow Connector Kommentare an ServiceNow Incidents anfügen. Der Kommentartext kann vom Benutzer bereitgestellt werden oder aus Security Copilot Funktionen stammen, z. B. Links zur Sitzungsfreigabe oder angeheftete Zusammenfassungen von Untersuchungsaufforderungen.

Beispiele für Eingabeaufforderungen sind:

  • "Schreiben Sie einen Link zu dieser Copilot-Untersuchung zu ServiceNow Incident INC12345"

Nach dem Laden eines Incidents:

  • "Schreiben Sie den folgenden Text in diesen ServiceNow Incident: Mit Security Copilot untersucht und neue Erkennungslogik bereitgestellt."

Nach dem Anheften einiger Eingabeaufforderungen:

  • "Schreiben Sie eine Zusammenfassung dieser Untersuchung, um ServiceNow Incident INC12345" oder , wenn die Sitzung bereits geladen ist, "Fassen Sie diese Untersuchung zusammen, und schreiben Sie sie als Kommentar zum ServiceNow Incident."

Hinweis

Die aktuelle Version des Plug-Ins fügt Kommentare an den ServiceNow Incident an. Zukünftige Versionen bieten möglicherweise die Möglichkeit, stattdessen in die Arbeitsnotizen zu schreiben.

Problembehandlung für das ServiceNow-Plug-In

Stellen Sie sicher, dass die relevanten IP-Adressen für Ihre Region aus der folgenden Liste zulässig sind. Weitere Informationen finden Sie unter Ausgehende IP-Adressen für Microsoft Security Copilot.

Schritte zum Hinzufügen zulässiger IP-Adressen:

  1. Melden Sie sich bei Ihrer ServiceNow Instanz an:

    • Verwenden Sie ein Konto mit Administratorrechten.

  2. Navigieren Sie zu den IP-Access Control Einstellungen. ServiceNow Dokumentation zu den Schritten: IP-Adress-Access Control:

    • Suchen Sie im linken Navigationsbereich nach "IP-Access Control", oder wechseln Sie zu:
      Systemsicherheits-IP-Access Control >

    Überprüfen Sie die IP-Adressen aus dieser Liste, und wählen Sie die entsprechende Adresse für Ihre Region aus, und fügen Sie sie der Positivliste mit richtungstyp als eingehend hinzu:

    Abbildung der IP-bereichsbasierten Authentifizierung

Fehler treten auf

Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten, stellen Sie sicher, dass das Plug-In aktiviert ist. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an.

Prompts nicht die richtigen Funktionen aufrufen

Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten. Sie können entweder den Produktnamen ServiceNowSIR in Ihren Eingabeaufforderungen verwenden oder stattdessen den Namen einer bestimmten Funktion <> eingeben.

Feedback geben

Wenden Sie sich an ServiceNow Produktmanagement, um Feedback zu geben.

  • Last updated on