Microsoft Security CopilotのServiceNow プラグイン

重要

この記事の一部の情報は、リリース前の製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。

ServiceNowは、SaaS アプリケーションとして提供されるビジネス プロセスを接続して自動化するように設計されたエンタープライズ アプリ エコシステムです。 多くのセキュリティ オペレーション センター (SOC) は、インシデント管理フローの一部としてServiceNowを使用し、多くの場合、カスタマイズ、統合、およびセキュリティ固有のアプリケーションを使用してコア機能を拡張します。

ServiceNow用の Copilot for Security プラグインを使用すると、Security Copilot セッションとServiceNow インシデント キュー間の接続が可能になります。 ユーザーは、ServiceNow インシデントを Copilot for Security にインポートできます。 ユーザーは、Defender for Endpoint などの Microsoft セキュリティ製品のデータを簡単に関連付け、外部の脅威インテリジェンスで強化し、調査結果をServiceNowに保持できます。 これらの機能は、物語のプロンプトと、Azure OpenAI を利用した生成的 AI と組み合わせることで、インシデントの解決を高速化します。 これらの機能は、スキルを向上させるチーム メンバーにも役立ち、セキュリティ インシデントに対してより包括的なビューを提供します。

はじめに

前提条件

  • サポートされている製品 (クラウド):
    • SERVICENOW IT サービス管理 (ITSM) パッケージ – インシデント対応アプリケーション
    • ServiceNow セキュリティ操作 (SecOps) パッケージ – セキュリティ インシデント対応アプリケーション
  • 新しいユーザーを作成するためのアクセス許可を持つ、ServiceNow インスタンスへのアクセス
  • プラグインを設定するためのアクセス許可
  • 使用可能なServiceNow API クォータ

ServiceNowセットアップ

ServiceNowする接続方法は 2 つあります。

ニーズに合ったものを選びます。

OAuth 承認コード付与フロー (ServiceNow受信統合) - 推奨

注:

開始する前に、ServiceNow管理者アクセス許可とSecurity Copilot所有者または共同作成者アクセス許可があることを確認します。

  1. OAuth プラグインがアクティブであり、OAuth アクティブ化プロパティが true に設定されていることを確認します。 既定でアクティブ化されていない場合は、リンクに従って両方をアクティブにします。

  2. ServiceNow インスタンスにアクセスし、次の手順に従って新しい Application Registry オブジェクトを作成します。

    1. [System OAuth > アプリケーション レジストリ] に移動し、[新規] を選択します

    2. [ 外部クライアント用の OAuth API エンドポイントの作成] を選択します

      OAuth アプリケーションの種類の画像

    3. Security Copilot統合を識別する名前を入力します。

    4. https://securitycopilot.microsoft.com/auth/v1/callbackなど、Security Copilot インスタンスに対応するリダイレクト URI を入力します。

    5. アクセス制御のニーズに対応する認証スコープを割り当てます。 ユーザー アカウントスコープで十分です。

    6. アプリケーション レジストリ オブジェクトを保存します。

    7. 新しく作成されたオブジェクトから、クライアント ID とクライアント シークレットをメモします。

    8. この OAuth セットアップは、ServiceNow インスタンスごとに 1 回だけ行う必要があります。 結果として得られる OAuth アプリケーション レジストリ オブジェクトは、異なるユーザーが複数回使用できます。

HTTP Basic 認証

  1. ServiceNow インスタンスにアクセスし、新しいユーザーを作成するオプションを見つけます。

    1. ServiceNow プラットフォームの [探索>資格情報] に移動します。
    2. [ 新規] を選択して、新しい資格情報レコードを作成します。
    3. 資格情報の種類として [ 基本認証 ] を選択します。 次の詳細を入力します:
      1. 名前: 資格情報のわかりやすい名前。
      2. 名: 認証用のユーザー名。
      3. パスワード: 認証用のパスワード。
      4. 資格情報を保存します。

  2. itilロールとrest_api_explorerロールをユーザー名に割り当てます。

    1. [ユーザー管理] > [ユーザー] に移動します。
    2. 作成したユーザー名を検索して選択します。
    3. [ ロール ] 関連リストで、[ 編集] を選択します。
    4. 使用可能なロールの一覧から itil ロールと rest_api_explorer ロールを追加します。
    5. ロールの割り当てを保存します。

  3. 資格情報とServiceNowインスタンス URL をメモします。

Security Copilot接続

  1. Microsoft Security Copilotにサインインします。

  2. プロンプト バーから [ソース] ボタンを選択して、プラグインの管理にアクセスします。

    リソースの管理パネルでのServiceNowの設定の画像

  3. [ServiceNow] の横にある [セットアップ] を選択します。

    ServiceNowの設定の画像 パート 1

    注:

    スコープなどの他のフィールドに到達するには、下までスクロールしてください。

    ServiceNowの設定の画像パート 2

  4. ServiceNow インスタンスにアクセスできるように、Security Copilot アプリケーションに同意を付与します。

    接続に同意を与える画像。

  5. OAuth authorization_codeの手順

    1. 前に作成したアプリケーション レジストリ オブジェクトに対応する認証パラメーターを入力します。
    2. インスタンス URL、クライアント ID、およびクライアント シークレットは、Application Registry オブジェクト内の同じ名前の値に対応します。 値ごとに入力する内容を決定するには、次の表を参照してください。
    設定名 説明
    既定のインシデントの種類 プロンプト内で型が指定されていない場合に、インシデントの種類が既定値に設定されます。 INC または SIR のいずれかである必要があります INC または SIR
    インスタンス ServiceNow インスタンス URL に設定する https://xyz.service-now.com/
    Clientid アプリケーション レジストリ オブジェクトのクライアント ID に設定ServiceNow
    ClientSecret Application Registry オブジェクトでクライアント シークレットServiceNow設定する
    AuthorizationEndpoint https://<service-now-instance-domain>/oauth_auth.do に設定します。 https://xyz.service-now.com/ oauth_auth.do
    TokenEndpoint に設定する https://<service-now-instance-domain>/oauth_token.do. https://xyz.service-now.com/ oauth_token.do
    Scopes ServiceNow アプリケーション レジストリ オブジェクトで定義されているスコープに設定します。 コンマ区切りの複数のスコープ。 ユーザー アカウント
    AuthorizationContentType 既定のアプリケーション/x-www-form-urlencoded から変更しないでください application/x-www-form-urlencoded
    リソース リソース ID 空白のままにできます

  6. [ 保存] または [ 接続] を選択して、セットアップを完了します。

    注:

    現在、設定を保存しても資格情報は検証されません。 正しくない場合は、Security CopilotがServiceNow プラグインを呼び出そうとすると、後でエラーが表示されます。

  7. プラグイン ウィンドウを閉じます。

サンプル ServiceNow プロンプト

Security Copilotは主に自然言語プロンプトで動作します。 インシデントをSecurity Copilot セッションに読み込むか、関連するServiceNow インシデントを検索する準備ができたら、ServiceNowスキル セットを選択して適切なスキルを呼び出Security Copilot指示するプロンプトを送信します。

プロンプトのメッセージが表示されたら、インシデントの優先ソースとしてメンション ServiceNowしてください。 Security Copilotは、それぞれがインシデントを提供する複数のシステムに接続でき、どのソースに関するガイダンスから利益を得ることができます。

インシデント クエリのプロンプトの例:

  • "インシデント INC12345 ServiceNow読み込み"
  • "インシデントServiceNow IP アドレス 10.0.0.1 とは何ですか?
  • "最近の重大度の高いServiceNowインシデントを表示する"
  • "3 番目のインシデントの詳細を表示する"
  • "これらの IP アドレスの MDTI 評判スコアは何ですか?
  • "この Copilot 調査へのリンクを記述してインシデント INC12345 ServiceNowする"
  • "そのServiceNow インシデントに次のテキストを書き込む: Security Copilotで調査し、新しい検出ロジックをデプロイしました。
  • "インシデント INC12345をServiceNowするために、この調査の概要を記述する"
  • 「この調査を要約し、ServiceNowインシデントに関するコメントとして書き込みます。

ServiceNow インシデントへのコメントの追加

適切なアクセス許可で有効にした場合、ServiceNow コネクタはServiceNow インシデントにコメントを追加できます。 コメント テキストは、ユーザーが提供することも、セッション共有リンクやピン留めされたプロンプト調査の概要など、Security Copilot機能から入手することもできます。

プロンプトの例は次のとおりです。

  • "この Copilot 調査へのリンクを記述してインシデント INC12345 ServiceNowする"

インシデントを読み込んだ後:

  • "そのServiceNow インシデントに次のテキストを書き込む: Security Copilotで調査し、新しい検出ロジックをデプロイしました。

いくつかのプロンプトをピン留めした後:

  • "インシデント INC12345をServiceNowするには、この調査の概要を書き込む" か、セッションが既に読み込まれている場合は "この調査を要約し、ServiceNow インシデントにコメントとして書き込む" 。

注:

プラグインの現在のバージョンでは、ServiceNow インシデントにコメントが追加されます。 今後のバージョンでは、代わりに作業ノートに書き込むオプションが提供される場合があります。

ServiceNow プラグインのトラブルシューティング

次の一覧からリージョンに関連する IP が許可されていることを確認します。 詳細については、「Microsoft Security Copilotのエグレス IP アドレス」を参照してください。

許可された IP を追加する手順:

  1. ServiceNow インスタンスにサインインします。

    • 管理者権限を持つアカウントを使用します。

  2. [IP Access Control設定] に移動します。 ServiceNowの手順に関するドキュメント: IP アドレス Access Control:

    • 左側のナビゲーション ウィンドウで、"IP Access Control" を検索するか、次の手順に進みます。
      システム セキュリティ > IP Access Control

    この一覧から IP アドレスを確認し、リージョンに適した IP アドレスを選択し、方向の種類を受信として許可リストに追加します。

    IP 範囲ベースの認証の画像

エラーの発生

要求を完了できませんでした不明なエラーが発生しました、などのエラーが発生した場合は、プラグインがオンになっていることを確認してください。 問題が解決しない場合は、Security Copilotからサインアウトしてから、もう一度サインインします。

プロンプトが正しい機能を呼び出していない

プロンプトが正しい機能を呼び出していない場合、またはプロンプトが他の機能セットを呼び出している場合は、使用する機能セットと同様の機能を持つカスタム プラグインまたは他のプラグインがある可能性があります。 プロンプトで ServiceNowSIR という製品名を使用するか、代わりに <> などの特定の機能の名前を入力できます。

フィードバックの提供

フィードバックを提供するには、製品管理ServiceNow問い合わせてください。

  • Last updated on