重要
本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
ServiceNow是一个企业应用生态系统,旨在连接和自动化业务流程,以 SaaS 应用程序的形式交付。 许多安全操作中心 (SOC) 使用ServiceNow作为其事件管理流的一部分,并且通常通过自定义、集成和安全特定的应用程序来扩展核心功能。
适用于ServiceNow的 Copilot for Security 插件支持Security Copilot会话与ServiceNow事件队列之间的连接。 用户可以将ServiceNow事件导入 Copilot for Security。 用户可以轻松地关联来自 Defender for Endpoint 等Microsoft安全产品的数据,丰富外部威胁情报,并将调查结果保存在ServiceNow中。 这些功能与由 Azure OpenAI 提供支持的叙述提示和生成 AI 相结合,有助于加快事件解决速度。 这些功能还有助于提升团队成员的技能,并为任何安全事件提供更全面的视图。
在开始之前了解
先决条件
- 支持的产品 (云) :
- ServiceNow IT 服务管理 (ITSM) 包 - 事件响应应用程序
- ServiceNow安全操作 (SecOps) 包 - 安全事件响应应用程序
- 访问ServiceNow实例,有权创建新用户
- 设置插件的权限
- 可用ServiceNow API 配额
ServiceNow设置
可通过两种连接方法ServiceNow:
选择适合你需求的一个。
OAuth 授权代码授予流 (ServiceNow 入站集成) - 建议
注意
在开始之前,请确保具有ServiceNow管理员权限以及Security Copilot所有者或参与者权限。
确保 OAuth 插件 处于活动状态,并且 OAuth 激活属性 设置为 true。 如果默认情况下未激活,请按照链接激活这两者。
按照以下步骤访问 ServiceNow 实例并创建新的应用程序注册表对象:
导航到 “系统 OAuth > 应用程序注册表”,选择“ 新建”。
选择“ 为外部客户端创建 OAuth API 终结点”。
输入标识Security Copilot集成的名称。
输入与 Security Copilot 实例对应的重定向 URI,例如
https://securitycopilot.microsoft.com/auth/v1/callback。分配与访问控制需求对应的身份验证范围。 用户帐户范围就足够了。
保存应用程序注册表对象。
在新创建的对象中,记下客户端 ID 和客户端密码。
每个 ServiceNow 实例只能执行一次此 OAuth 设置。 生成的 OAuth 应用程序注册表对象可由不同的用户多次使用。
HTTP 基本身份验证
访问 ServiceNow 实例并找到创建新用户的选项:
- 导航到 ServiceNow 平台中的“发现>凭据”。
- 选择“ 新建 ”以创建新的凭据记录。
- 选择“ 基本身份验证” 作为凭据类型。 输入以下详细信息:
- 名字: 凭据的描述性名称。
- 用户: 用于身份验证的用户名。
- 密码: 用于身份验证的密码。
- 保存凭据。
将
itil和rest_api_explorer角色分配给用户名:- 导航到 “用户管理 > 用户”。
- 搜索并选择创建的用户名。
- 在 “角色 相关”列表中,选择“ 编辑”。
- 从可用角色列表中添加
itil和rest_api_explorer角色。 - 保存角色分配。
记下凭据和ServiceNow实例 URL。
Security Copilot连接
通过从提示栏中选择“源”按钮来访问“管理插件”。
在“ServiceNow”旁边,选择“设置”。
注意
请务必一直向下滚动以访问其他字段,例如作用域。
向 Security Copilot 应用程序授予许可,以便可以访问ServiceNow实例。
OAuth authorization_code说明
- 输入与之前创建的应用程序注册表对象对应的身份验证参数。
- 实例 URL、客户端 ID 和客户端密码对应于应用程序注册表对象中同名的值。 若要确定要为每个值输入的内容,请参阅下表:
设置名称 说明 示例 默认事件类型 当提示中未提供类型时,默认为 的事件类型。 必须是以下类型之一:INC 或 SIR INC 或 SIR 实例 设置为ServiceNow实例 URL https://xyz.service-now.com/ClientId 在应用程序注册表对象ServiceNow设置为客户端 ID ClientSecret 在应用程序注册表对象ServiceNow设置为客户端密码 AuthorizationEndpoint 设置为 https://<service-now-instance-domain>/oauth_auth.do。https://xyz.service-now.com/oauth_auth.doTokenEndpoint 设置为 https://<service-now-instance-domain>/oauth_token.do.https://xyz.service-now.com/oauth_token.doScopes 设置为 ServiceNow Application Registry 对象中定义的范围。 逗号分隔多个范围。 用户帐户 AuthorizationContentType 应保持默认 application/x-www-form-urlencoded 不变 application/x-www-form-urlencoded 资源 资源 ID 可留空 选择“ 保存” 或“ 连接” 以完成设置。
注意
目前,保存设置时,系统不会验证凭据。 如果不正确,稍后Security Copilot尝试调用 ServiceNow 插件时,会看到错误。
关闭插件窗口。
示例ServiceNow提示
Security Copilot主要通过自然语言提示进行操作。 准备好将事件加载到Security Copilot会话或搜索相关ServiceNow事件时,将提交提示,引导Security Copilot选择ServiceNow技能集并调用适当的技能。
发出提示时,请确保提及 ServiceNow作为事件的首选源。 Security Copilot可以连接到多个系统,每个系统都提供事件,并受益于你首选的源的指导。
事件查询的示例提示:
- “加载ServiceNow事件INC12345”
- “哪些ServiceNow事件是指 IP 地址 10.0.0.1?”
- “显示最近的高严重性ServiceNow事件”
- “显示第三个事件的详细信息”
- “这些 IP 地址的 MDTI 信誉分数是多少?”
- “将此 Copilot 调查的链接写入到ServiceNow事件INC12345”
- “将以下文本写入该ServiceNow事件:使用Security Copilot调查并部署了新的检测逻辑。”
- “编写此调查摘要以ServiceNow事件INC12345”
- “总结这次调查,并将其写成对ServiceNow事件的评论。
将注释追加到ServiceNow事件
如果使用适当的权限启用,ServiceNow连接器可以将注释追加到ServiceNow事件。 注释文本可以由用户提供,也可以来自Security Copilot功能,例如会话共享链接或固定的提示调查摘要。
示例提示包括:
- “将此 Copilot 调查的链接写入到ServiceNow事件INC12345”
加载事件后:
- “将以下文本写入该ServiceNow事件:使用Security Copilot调查并部署了新的检测逻辑。”
固定几个提示后:
- “编写此调查的摘要以ServiceNow事件INC12345”或者如果已加载会话“汇总此调查并将其写为对ServiceNow事件的注释”。
注意
插件的当前版本将注释追加到 ServiceNow 事件。 将来的版本可能会改为提供写入工作说明的选项。
排查ServiceNow插件问题
确保允许以下列表中的区域的相关 IP。 有关详细信息,请参阅智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®的出口 IP 地址。
添加允许的 IP 的步骤:
登录到 ServiceNow 实例:
- 使用具有管理权限的帐户。
导航到 IP 访问控制设置。 ServiceNow有关步骤的文档:IP 地址访问控制:
- 在左侧导航窗格中,搜索“IP 访问控制”或转到:
系统安全 > IP 访问控制
查看此列表中的 IP 地址,选择适合你的区域的 IP 地址,并将其添加到允许列表中,方向类型为入站:
- 在左侧导航窗格中,搜索“IP 访问控制”或转到:
发生错误
如果遇到错误(例如 无法完成请求或 发生未知错误),请确保插件已打开。 如果问题仍然存在,请注销Security Copilot,然后重新登录。
提示未调用正确的功能
如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。 可以在提示中使用产品名称 ServiceNowSIR,也可以键入特定功能的名称,例如 <> 。
提供反馈
若要提供反馈,请联系ServiceNow产品管理。