plug-in ServiceNow para Microsoft Security Copilot

ServiceNow é um ecossistema de aplicações empresariais concebido para ligar e automatizar processos empresariais, fornecidos como uma aplicação SaaS. Muitos centros de operações de segurança (SOCs) utilizam ServiceNow como parte do fluxo de gestão de incidentes e, muitas vezes, expandem a funcionalidade principal com personalizações, integrações e aplicações específicas de segurança.

O plug-in Copilot for Security para ServiceNow permite a conectividade entre uma sessão de Security Copilot e uma fila de incidentes ServiceNow. Os utilizadores podem importar um incidente de ServiceNow para o Copilot for Security. Os utilizadores podem correlacionar facilmente dados de produtos de segurança da Microsoft, como o Defender para Endpoint, enriquecer com informações sobre ameaças externas e manter os resultados da respetiva investigação no ServiceNow. Estas capacidades, combinadas com o pedido narrativo e a IA geradora com tecnologia Azure OpenAI ajudam a acelerar a resolução de incidentes. Estas capacidades também ajudam os membros da equipa de competências e fornecem vistas mais abrangentes sobre qualquer incidente de segurança.

Antes de começar

Pré-requisitos

• Produtos Suportados (Cloud):
  • pacote de Gestão de Serviços de TI (ITSM) ServiceNow – aplicação de Resposta a Incidentes
  • pacote de Operações de Segurança do ServiceNow (SecOps) – aplicação de Resposta a Incidentes de Segurança
• Acesso à sua instância ServiceNow, com permissões para criar novos utilizadores
• Permissões para configurar plug-ins
• Quota de API de ServiceNow disponível

ServiceNow configuração

Existem dois métodos de conectividade para ServiceNow:

• Fluxo de concessão do código de autorização OAuth
• Autenticação básica http

Escolha aquele que se adequa às suas necessidades.

Fluxo de concessão de código de autorização OAuth (ServiceNow integração de entrada) – Recomendado

1. Certifique-se de que o plug-in OAuth está ativo e que a propriedade de ativação OAuth está definida como true. Siga as ligações para ativar ambas se não estiverem ativadas por predefinição.

2. Aceda à instância ServiceNow e crie um novo objeto do Registo de Aplicações ao seguir estes passos:

   1. Navegue para Registo de Aplicações OAuth > do Sistema, selecione Novo.

   2. Selecione Criar um ponto final da API OAuth para clientes externos.

      

   3. Introduza um nome que identifique a integração do Security Copilot.

   4. Introduza o URI de redirecionamento correspondente à instância Security Copilot, por exemplo https://securitycopilot.microsoft.com/auth/v1/callback.

   5. Atribua um âmbito de autenticação correspondente às suas necessidades de controlo de acesso. O âmbito da conta de utilizador seria suficiente.

   6. Guarde o objeto Registo de Aplicações.

   7. A partir do objeto recentemente criado, anote o ID de cliente e o segredo do cliente.

   8. Esta configuração do OAuth só deve ser efetuada uma vez por ServiceNow instância. O objeto OAuth Application Registry resultante pode ser utilizado várias vezes por diferentes utilizadores.

Autenticação básica http

1. Aceda à sua instância ServiceNow e localize a opção para criar um novo utilizador:

   1. Navegue para > Credenciais de Deteção na plataforma ServiceNow.
   2. Selecione Novo para criar um novo registo de credenciais.
   3. Selecione Autenticação Básica como o tipo de credencial. Introduza os seguintes detalhes:
      1. Nome: Nome descritivo para a credencial.
      2. Nome de utilizador: Nome de utilizador para autenticação.
      3. Palavra-passe: Palavra-passe para autenticação.
      4. Guarde as credenciais.

2. Atribua as itil funções e rest_api_explorer ao nome de utilizador:

   1. Navegue para Utilizadores de Administração > de Utilizadores.
   2. Procure e selecione o nome de utilizador criado.
   3. Na lista Relacionados com funções , selecione Editar.
   4. Adicionar itil e rest_api_explorer funções a partir da lista de funções disponíveis.
   5. Guarde as atribuições de funções.

3. Tenha em atenção as credenciais e o URL da instância ServiceNow.

Security Copilot ligação

1. Inicie sessão no Microsoft Security Copilot.

2. Aceda a Gerir Plug-ins ao selecionar o botão Origens na barra de pedidos.

   

3. Junto a ServiceNow, selecione Configurar.

   

   Observação

   Certifique-se de que se desloca para baixo para aceder a outros campos, como Âmbitos.

   

4. Conceda consentimento à aplicação Security Copilot para que possa aceder à sua instância ServiceNow.

   

5. Instruções de authorization_code OAuth

   1. Introduza os parâmetros de autenticação correspondentes ao objeto do Registo de Aplicações que criou anteriormente.
   2. O URL da instância, o ID de cliente e o segredo do cliente correspondem a valores com o mesmo nome no objeto Registo de Aplicações. Para determinar o que introduzir para cada valor, veja a seguinte tabela:

   Nome da configuração	Descrição	Exemplo
   Tipo de Incidente Predefinido	O tipo de incidente é predefinido para quando o tipo não é fornecido nos pedidos. Tem de ser um de: INC ou SIR	INC ou SIR
   Instância	Definido como o URL da instância do ServiceNow	https://xyz.service-now.com/
   ClientId	Definido como ID de cliente no objeto ServiceNow Application Registry
   ClientSecret	Definido como segredo do cliente no objeto ServiceNow Application Registry
   AuthorizationEndpoint	Definido como https://<service-now-instance-domain>/oauth_auth.do	https://xyz.service-now.com/ oauth_auth.do
   TokenEndpoint	Definir como https://<service-now-instance-domain>/oauth_token.do.	https://xyz.service-now.com/ oauth_token.do
   Scopes	Defina como os âmbitos definidos no objeto ServiceNow Application Registry. Vários âmbitos separados por vírgulas.	conta de utilizador
   AuthorizationContentType	Deve permanecer inalterado a partir da aplicação predefinida/x-www-form-urlencoded	application/x-www-form-urlencoded
   Recurso	ID do recurso	Pode ser deixado em branco

6. Selecione Guardar ou Ligar para concluir a configuração.

   Observação

   Atualmente, o sistema não valida as suas credenciais quando guarda as suas definições. Se não estiverem corretos, verá um erro mais tarde quando Security Copilot tentar invocar o plug-in ServiceNow.

7. Feche a janela de plug-ins.

Pedidos de ServiceNow de exemplo

Security Copilot funciona principalmente com pedidos de linguagem natural. Quando estiver pronto para carregar um incidente para a sua sessão de Security Copilot ou procurar incidentes relacionados ServiceNow, irá submeter um pedido que orienta Security Copilot para selecionar o conjunto de competências ServiceNow e invocar a competência adequada.

Quando disser o seu pedido, certifique-se de que menção ServiceNow como a origem preferencial do incidente. Security Copilot pode ligar a vários sistemas que cada um fornece incidentes e beneficia da documentação de orientação sobre a origem que preferir.

Exemplos de pedidos de consultas de incidentes:

• "Carregar ServiceNow incidente INC12345"
• "O que ServiceNow incidentes se referem ao endereço IP 10.0.0.1?"
• "Mostrar-me incidentes recentes de alta gravidade ServiceNow"
• "Mostrar detalhes sobre o terceiro incidente"
• "Qual é a pontuação de reputação do MDTI para esses endereços IP?"
• "Escreva uma ligação para esta investigação copilot para ServiceNow incidente INC12345"
• "Escreva o seguinte texto nesse incidente ServiceNow: Investigado com Security Copilot e implementou uma nova lógica de deteção."
• "Escreva um resumo desta investigação para ServiceNow incidente INC12345"
• "Resumir esta investigação e escrevê-la como um comentário sobre o incidente ServiceNow."

Acrescentar comentários a incidentes de ServiceNow

Se estiver ativado com as permissões adequadas, o conector ServiceNow pode acrescentar comentários a incidentes ServiceNow. O texto do comentário pode ser fornecido pelo utilizador ou obtido a partir de funcionalidades Security Copilot, como ligações de partilha de sessão ou resumos de investigação de pedidos afixados.

Os pedidos de exemplo incluem:

• "Escreva uma ligação para esta investigação copilot para ServiceNow incidente INC12345"

Depois de carregar um incidente:

• "Escreva o seguinte texto nesse incidente ServiceNow: Investigado com Security Copilot e implementou uma nova lógica de deteção."

Depois de afixar alguns pedidos:

• "Escreva um resumo desta investigação para ServiceNow incidente INC12345" ou se a sessão já estiver carregada "Resumir esta investigação e escreva-a como um comentário sobre o incidente ServiceNow".

Resolver problemas do plug-in do ServiceNow

Certifique-se de que os IPs relevantes para a sua região na lista seguinte são permitidos. Para obter mais informações, veja Endereços IP de saída para Microsoft Security Copilot.

Passos para adicionar IPs Permitidos:

1. Inicie sessão na instância do ServiceNow:

   • Utilize uma conta com privilégios administrativos.

2. Navegue para o IP Controle de Acesso Definições. ServiceNow documentação sobre os passos: Endereço IP Controle de Acesso:

   • No painel de navegação esquerdo, procure "IP Controle de Acesso" ou aceda a:
     Controle de Acesso IP de Segurança > do Sistema

   Reveja os endereços IP desta lista, selecione o adequado para a sua região e adicione-o à lista de permissões com a direção Tipo como entrada:

   

Ocorrem erros

Se encontrar erros, como Não foi possível concluir o pedido ou Ocorreu um erro desconhecido, certifique-se de que o plug-in está ativado. Se o problema persistir, termine sessão no Security Copilot e, em seguida, volte a iniciar sessão.

Prompts não estão a invocar as capacidades corretas

Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar. Pode utilizar o nome do produto ServiceNowSIR nas suas instruções ou escrever o nome de uma capacidade específica, como <> em alternativa.

Faça comentários

Para fornecer feedback, contacte ServiceNow gestão de produtos.