plug-in ServiceNow per Microsoft Security Copilot

Importante

Alcune informazioni in questo articolo si riferiscono a un prodotto pre-noleggiato, che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

ServiceNow è un ecosistema di app aziendali progettato per connettere e automatizzare i processi aziendali, fornito come applicazione SaaS. Molti centri operativi di sicurezza usano ServiceNow come parte del flusso di gestione degli eventi imprevisti e spesso estendono le funzionalità di base con personalizzazioni, integrazioni e applicazioni specifiche per la sicurezza.

Il plug-in Copilot per la sicurezza per ServiceNow consente la connettività tra una sessione di Security Copilot e una coda di eventi imprevisti ServiceNow. Gli utenti possono importare un evento imprevisto ServiceNow in Copilot per la sicurezza. Gli utenti possono correlare facilmente i dati dei prodotti di sicurezza Microsoft, ad esempio Defender per endpoint, arricchire con l'intelligence sulle minacce esterne e rendere persistenti i risultati delle indagini in ServiceNow. Queste funzionalità, combinate con l'intelligenza artificiale narrativa e generativa basata su Azure OpenAI consentono di velocizzare la risoluzione degli eventi imprevisti. Queste funzionalità consentono anche di migliorare le competenze dei membri del team e di fornire visualizzazioni più complete su qualsiasi evento imprevisto per la sicurezza.

Sapere prima di iniziare

Prerequisiti

  • Prodotti supportati (cloud):
    • ServiceNow pacchetto IT Service Management (ITSM) - Applicazione di risposta agli eventi imprevisti
    • pacchetto ServiceNow Security Operations (SecOps) - Applicazione Security Incident Response
  • Accesso all'istanza di ServiceNow, con le autorizzazioni per creare nuovi utenti
  • Autorizzazioni per configurare i plug-in
  • Quota API ServiceNow disponibile

configurazione ServiceNow

Sono disponibili due metodi di connettività per ServiceNow:

Scegli quello più adatto alle tue esigenze.

Flusso di concessione del codice di autorizzazione OAuth (ServiceNow integrazione in ingresso) - Consigliato

Nota

Prima di iniziare, assicurarsi di disporre dell'autorizzazione di amministratore ServiceNow e dell'autorizzazione Security Copilot Proprietario o Collaboratore.

  1. Assicurarsi che il plug-in OAuth sia attivo e che la proprietà di attivazione OAuth sia impostata su true. Seguire i collegamenti per attivare entrambi se non sono attivati per impostazione predefinita.

  2. Accedere all'istanza di ServiceNow e creare un nuovo oggetto Registro applicazioni seguendo questa procedura:

    1. Passare a System OAuth Application Registry (Registro applicazioni OAuth > di sistema) e selezionare New (Nuovo).

    2. Selezionare Crea un endpoint DELL'API OAuth per i client esterni.

      Immagine del tipo di applicazione OAuth

    3. Immettere un nome che identifica l'integrazione Security Copilot.

    4. Immettere l'URI di reindirizzamento corrispondente all'istanza di Security Copilot, ad esempio https://securitycopilot.microsoft.com/auth/v1/callback.

    5. Assegnare un ambito di autenticazione corrispondente alle esigenze di controllo di accesso. L'ambito dell'account utente sarebbe sufficiente.

    6. Salvare l'oggetto Registro applicazioni.

    7. Dall'oggetto appena creato prendere nota dell'ID client e del segreto client.

    8. L'installazione di OAuth deve essere eseguita una sola volta per ogni istanza di ServiceNow. L'oggetto registro applicazioni OAuth risultante può essere usato più volte da utenti diversi.

Autenticazione di base HTTP

  1. Accedere all'istanza di ServiceNow e individuare l'opzione per creare un nuovo utente:

    1. Passare a Credenziali di individuazione > nella piattaforma ServiceNow.
    2. Selezionare Nuovo per creare un nuovo record di credenziali.
    3. Selezionare Autenticazione di base come tipo di credenziali. Immettere i dettagli seguenti:
      1. Nome: Nome descrittivo per le credenziali.
      2. Nome utente: Nome utente per l'autenticazione.
      3. Password: Password per l'autenticazione.
      4. Salvare le credenziali.

  2. Assegnare i itil ruoli e rest_api_explorer al nome utente:

    1. Passare a Utenti di Amministrazione > utente.
    2. Cercare e selezionare il nome utente creato.
    3. Nell'elenco Ruoli correlati selezionare Modifica.
    4. Aggiungere itil ruoli e rest_api_explorer dall'elenco dei ruoli disponibili.
    5. Salvare le assegnazioni di ruolo.

  3. Prendere nota delle credenziali e dell'URL dell'istanza di ServiceNow.

connessione Security Copilot

  1. Accedere a Microsoft Security Copilot.

  2. Accedere a Gestisci plug-in selezionando il pulsante Origini dalla barra dei prompt.

    Immagine della configurazione di ServiceNow nel pannello Gestisci risorse

  3. Accanto a ServiceNow selezionare Configura.

    Immagine della configurazione ServiceNow parte 1

    Nota

    Assicurarsi di scorrere fino in basso per raggiungere altri campi, ad esempio Ambiti.

    Immagine della configurazione ServiceNow parte 2

  4. Concedere il consenso all'applicazione Security Copilot in modo da poter accedere all'istanza di ServiceNow.

    Immagine della concessione del consenso alla connessione.

  5. Istruzioni di authorization_code OAuth

    1. Immettere i parametri di autenticazione corrispondenti all'oggetto Registro applicazioni creato in precedenza.
    2. L'URL dell'istanza, l'ID client e il segreto client corrispondono ai valori dello stesso nome nell'oggetto Registro applicazioni. Per determinare cosa immettere per ogni valore, fare riferimento alla tabella seguente:
    Nome dell'impostazione Descrizione Esempio
    Tipo di evento imprevisto predefinito Il tipo di evento imprevisto per impostazione predefinita è quando il tipo non viene fornito nei prompt. Deve essere uno di: INC o SIR INC o SIR
    Istanza Impostare sull'URL dell'istanza di ServiceNow https://xyz.service-now.com/
    Clientid Impostare su ID client in ServiceNow oggetto registro applicazioni
    ClientSecret Impostare su segreto client in ServiceNow oggetto Registro applicazioni
    AuthorizationEndpoint https://<service-now-instance-domain>/oauth_auth.doImpostare su . https://xyz.service-now.com/ oauth_auth.do
    TokenEndpoint Impostare su https://<service-now-instance-domain>/oauth_token.do. https://xyz.service-now.com/ oauth_token.do
    Ambiti Impostare sugli ambiti definiti nell'oggetto registro applicazioni ServiceNow. Più ambiti separati da virgole. account utente
    AuthorizationContentType Deve rimanere invariato rispetto all'applicazione predefinita/x-www-form-urlencoded application/x-www-form-urlencoded
    Risorsa ID risorsa Può essere lasciato vuoto

  6. Selezionare Salva o Connetti per completare l'installazione.

    Nota

    Attualmente, il sistema non convalida le credenziali quando si salvano le impostazioni. Se non sono corretti, verrà visualizzato un errore in un secondo momento quando Security Copilot tenta di richiamare il plug-in ServiceNow.

  7. Chiudere la finestra dei plug-in.

Richieste di ServiceNow di esempio

Security Copilot opera principalmente con richieste di linguaggio naturale. Quando si è pronti per caricare un evento imprevisto nella sessione di Security Copilot o cercare gli eventi imprevisti ServiceNow correlati, si invierà una richiesta che guiderà Security Copilot per selezionare il set di competenze ServiceNow e richiamare la competenza appropriata.

Quando si specifica la richiesta, assicurarsi di menzionare ServiceNow come origine preferita dell'evento imprevisto. Security Copilot può connettersi a diversi sistemi che forniscono ognuno eventi imprevisti e trae vantaggio dalle indicazioni sull'origine preferita.

Richieste di esempio per le query sugli eventi imprevisti:

  • "Load ServiceNow incident INC12345"
  • "Che ServiceNow eventi imprevisti si riferiscono all'indirizzo IP 10.0.0.1?"
  • "Mostra la gravità elevata recente ServiceNow eventi imprevisti"
  • "Mostra dettagli sul terzo evento imprevisto"
  • "Qual è il punteggio di reputazione MDTI per tali indirizzi IP?"
  • "Scrivere un collegamento a questa indagine copilot per ServiceNow INC12345 degli eventi imprevisti"
  • "Scrivere il testo seguente in tale ServiceNow evento imprevisto: indagine con Security Copilot e nuova logica di rilevamento distribuita."
  • "Scrivere un riepilogo di questa indagine per ServiceNow INC12345 degli eventi imprevisti"
  • "Riepilogare l'indagine e scriverla come commento sull'evento imprevisto ServiceNow".

Aggiunta di commenti agli eventi imprevisti ServiceNow

Se abilitato con le autorizzazioni appropriate, il connettore ServiceNow può aggiungere commenti a eventi imprevisti ServiceNow. Il testo del commento può essere fornito dall'utente o originato da funzionalità di Security Copilot, ad esempio collegamenti di condivisione sessione o riepiloghi delle indagini delle richieste aggiunte.

Le richieste di esempio includono:

  • "Scrivere un collegamento a questa indagine copilot per ServiceNow INC12345 degli eventi imprevisti"

Dopo il caricamento di un evento imprevisto:

  • "Scrivere il testo seguente in tale ServiceNow evento imprevisto: indagine con Security Copilot e nuova logica di rilevamento distribuita."

Dopo aver aggiunto alcuni prompt:

  • "Scrivere un riepilogo di questa indagine per ServiceNow INC12345 dell'evento imprevisto" o se la sessione è già caricata "Riepilogare l'indagine e scriverla come commento sull'evento imprevisto ServiceNow".

Nota

La versione corrente del plug-in aggiunge commenti all'evento imprevisto ServiceNow. Le versioni future possono invece offrire la possibilità di scrivere nelle note di lavoro.

Risolvere i problemi del plug-in ServiceNow

Assicurarsi che gli INDIRIZZI IP pertinenti per l'area dall'elenco seguente siano consentiti. Per altre informazioni, vedere Indirizzi IP in uscita per Microsoft Security Copilot.

Passaggi per aggiungere indirizzi IP consentiti:

  1. Accedere all'istanza di ServiceNow:

    • Usare un account con privilegi amministrativi.

  2. Passare a Impostazioni Controllo di accesso IP. ServiceNow documentazione sui passaggi: Indirizzo IP Controllo di accesso:

    • Nel riquadro di spostamento a sinistra cercare "CONTROLLO DI ACCESSO IP" o passare a:
      Controllo di accesso IP di sicurezza > del sistema

    Esaminare gli indirizzi IP di questo elenco e selezionare quello appropriato per l'area e aggiungerlo all'elenco consentiti con la direzione Tipo come in ingresso:

    Immagine dell'autenticazione basata su intervalli IP

Si verificano errori

Se si verificano errori, ad esempio Impossibile completare la richiesta o Si è verificato un errore sconosciuto, assicurarsi che il plug-in sia attivato. Se il problema persiste, disconnettersi da Security Copilot e quindi eseguire di nuovo l'accesso.

Prompt non richiamano le funzionalità corrette

Se i prompt non richiamano le funzionalità corrette o i prompt richiamano un altro set di funzionalità, è possibile che siano presenti plug-in personalizzati o altri plug-in con funzionalità simili a quelle del set di funzionalità che si vuole usare. È possibile usare il nome del prodotto ServiceNowSIR nei prompt oppure digitare il nome di una funzionalità specifica, ad <> esempio .

Inviare feedback

Per fornire commenti e suggerimenti, contattare ServiceNow gestione dei prodotti.

  • Last updated on