complemento ServiceNow para Microsoft Security Copilot

Importante

Parte de la información de este artículo se refiere a un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

ServiceNow es un ecosistema de aplicaciones empresariales diseñado para conectar y automatizar procesos empresariales, entregados como una aplicación SaaS. Muchos centros de operaciones de seguridad (SOC) usan ServiceNow como parte de su flujo de administración de incidentes y, a menudo, amplían la funcionalidad principal con personalizaciones, integraciones y aplicaciones específicas de seguridad.

El complemento Copilot for Security para ServiceNow permite la conectividad entre una sesión de Security Copilot y una cola de incidentes de ServiceNow. Los usuarios pueden importar un incidente de ServiceNow en Copilot for Security. Los usuarios pueden correlacionar fácilmente los datos de productos de seguridad de Microsoft, como Defender para punto de conexión, enriquecerse con inteligencia de amenazas externa y conservar los resultados de su investigación en ServiceNow. Estas funcionalidades, combinadas con el símbolo del sistema narrativo y la inteligencia artificial generativa con tecnología de Azure ayuda de OpenAI a acelerar la resolución de incidentes. Estas funcionalidades también ayudan a los miembros del equipo de aptitudes y proporcionan vistas más completas sobre cualquier incidente de seguridad.

Saber antes de empezar

Requisitos previos

  • Productos admitidos (nube):
    • paquete ServiceNow administración de servicios de TI (ITSM): aplicación de respuesta a incidentes
    • Paquete de operaciones de seguridad de ServiceNow (SecOps): aplicación de respuesta a incidentes de seguridad
  • Acceso a la instancia de ServiceNow, con permisos para crear nuevos usuarios
  • Permisos para configurar complementos
  • Cuota de API de ServiceNow disponible

configuración de ServiceNow

Hay dos métodos de conectividad para ServiceNow:

Elija el que se adapte a sus necesidades.

Flujo de concesión de código de autorización de OAuth (ServiceNow integración entrante): se recomienda

Nota:

Antes de empezar, asegúrese de que tiene el permiso de administrador de ServiceNow y el permiso de propietario o colaborador de Security Copilot.

  1. Asegúrese de que el complemento OAuth está activo y que la propiedad de activación de OAuth está establecida en true. Siga los vínculos para activar ambos si no están activados de forma predeterminada.

  2. Acceda a la instancia de ServiceNow y cree un nuevo objeto de Application Registry siguiendo estos pasos:

    1. Vaya a System OAuth > Application Registry y seleccione Nuevo.

    2. Seleccione Crear un punto de conexión de API de OAuth para clientes externos.

      Imagen de qué tipo de aplicación de OAuth

    3. Escriba un nombre que identifique la integración de Security Copilot.

    4. Escriba el URI de redireccionamiento correspondiente a la instancia de Security Copilot, por ejemplohttps://securitycopilot.microsoft.com/auth/v1/callback.

    5. Asigne un ámbito de autenticación correspondiente a sus necesidades de control de acceso. El ámbito de la cuenta de usuario sería suficiente.

    6. Guarde el objeto Application Registry.

    7. En el objeto recién creado, anote el identificador de cliente y el secreto de cliente.

    8. Esta configuración de OAuth solo debe realizarse una vez por cada instancia de ServiceNow. Los distintos usuarios pueden usar el objeto de Registro de aplicaciones de OAuth resultante varias veces.

Autenticación básica http

  1. Acceda a la instancia de ServiceNow y busque la opción para crear un nuevo usuario:

    1. Vaya a Credenciales de detección > en la plataforma de ServiceNow.
    2. Seleccione Nuevo para crear un nuevo registro de credenciales.
    3. Seleccione Autenticación básica como tipo de credencial. Escriba los detalles siguientes:
      1. Nombre: Nombre descriptivo de la credencial.
      2. Nombre de usuario: Nombre de usuario para la autenticación.
      3. Contraseña: Contraseña para la autenticación.
      4. Guarde las credenciales.

  2. Asigne los itil roles y rest_api_explorer al nombre de usuario:

    1. Vaya a Usuarios de administración > de usuarios.
    2. Busque y seleccione el nombre de usuario creado.
    3. En la lista Roles relacionados, seleccione Editar.
    4. Agregue itil y rest_api_explorer roles de la lista de roles disponibles.
    5. Guarde las asignaciones de roles.

  3. Anote las credenciales y la dirección URL de la instancia de ServiceNow.

conexión Security Copilot

  1. Inicie sesión en Microsoft Security Copilot.

  2. Para acceder a Administrar complementos , seleccione el botón Orígenes de la barra de mensajes.

    Imagen de la configuración de ServiceNow en el panel Administrar recursos

  3. Junto a ServiceNow, seleccione Configurar.

    Imagen de la configuración de ServiceNow parte 1

    Nota:

    Asegúrese de desplazarse hasta el final para llegar a otros campos, como Ámbitos.

    Imagen de la configuración de ServiceNow parte 2

  4. Conceda consentimiento a la aplicación Security Copilot para que pueda acceder a la instancia de ServiceNow.

    Imagen de concesión de consentimiento a la conexión.

  5. Instrucciones de authorization_code de OAuth

    1. Escriba los parámetros de autenticación correspondientes al objeto de Application Registry que creó anteriormente.
    2. La dirección URL de instancia, el identificador de cliente y el secreto de cliente corresponden a valores del mismo nombre en el objeto Application Registry. Para determinar qué escribir para cada valor, consulte la tabla siguiente:
    Nombre de la opción Descripción Ejemplo
    Tipo de incidente predeterminado El tipo de incidente se establece de forma predeterminada en cuando el tipo no se proporciona dentro de los avisos. Debe ser uno de: INC o SIR INC o SIR
    Instancia Establecer en la dirección URL de la instancia de ServiceNow https://xyz.service-now.com/
    ClientId Establecer en id. de cliente en ServiceNow objeto de Application Registry
    ClientSecret Establecer en secreto de cliente en ServiceNow objeto de Application Registry
    AuthorizationEndpoint Establecer ahttps://<service-now-instance-domain>/oauth_auth.do. https://xyz.service-now.com/ oauth_auth.do
    TokenEndpoint Establecer en https://<service-now-instance-domain>/oauth_token.do. https://xyz.service-now.com/ oauth_token.do
    Scopes Establezca en los ámbitos definidos en el objeto ServiceNow Application Registry. Separar varios ámbitos por comas. cuenta de usuario
    AuthorizationContentType Se debe dejar sin cambios desde la aplicación predeterminada/x-www-form-urlencoded application/x-www-form-urlencoded
    Recurso Id. de recurso Se puede dejar en blanco

  6. Seleccione Guardar o Conectar para completar la configuración.

    Nota:

    Actualmente, el sistema no valida las credenciales al guardar la configuración. Si no son correctos, verá un error más adelante cuando Security Copilot intente invocar el complemento ServiceNow.

  7. Cierre la ventana de complementos.

Solicitudes de ServiceNow de ejemplo

Security Copilot funciona principalmente con avisos de lenguaje natural. Cuando esté listo para cargar un incidente en la sesión de Security Copilot o para buscar incidentes relacionados ServiceNow, enviará una solicitud que guíe Security Copilot para seleccionar el conjunto de aptitudes ServiceNow e invocar la aptitud adecuada.

Cuando diga su mensaje, asegúrese de mencionar ServiceNow como el origen preferido del incidente. Security Copilot puede conectarse a varios sistemas que proporcionan incidentes y se beneficia de las instrucciones sobre el origen que prefiera.

Solicitudes de ejemplo para consultas de incidentes:

  • "Cargar ServiceNow INC12345 de incidentes"
  • "¿Qué ServiceNow incidentes hacen referencia a la dirección IP 10.0.0.1?"
  • "Mostrarme la gravedad alta reciente ServiceNow incidentes"
  • "Mostrar detalles sobre el tercer incidente"
  • "¿Cuál es la puntuación de reputación de MDTI para esas direcciones IP?"
  • "Escriba un vínculo a esta investigación de Copilot para ServiceNow incidente INC12345"
  • "Escriba el siguiente texto en ese incidente de ServiceNow: Se investigó con Security Copilot e implementó una nueva lógica de detección".
  • "Escriba un resumen de esta investigación para ServiceNow INC12345 de incidentes"
  • "Resuma esta investigación y escríbala como comentario sobre el incidente de ServiceNow".

Anexar comentarios a incidentes ServiceNow

Si se habilita con los permisos adecuados, el conector de ServiceNow puede anexar comentarios a ServiceNow incidentes. El usuario puede proporcionar el texto del comentario o obtenerlo de Security Copilot características, como vínculos de uso compartido de sesiones o resúmenes de investigación de mensajes anclados.

Entre las solicitudes de ejemplo se incluyen:

  • "Escriba un vínculo a esta investigación de Copilot para ServiceNow incidente INC12345"

Después de cargar un incidente:

  • "Escriba el siguiente texto en ese incidente de ServiceNow: Se investigó con Security Copilot e implementó una nueva lógica de detección".

Después de anclar algunas indicaciones:

  • "Escriba un resumen de esta investigación para ServiceNow INC12345 de incidentes" o si la sesión ya está cargada "Resumir esta investigación y escribirla como comentario sobre el incidente ServiceNow".

Nota:

La versión actual del complemento anexa comentarios al incidente de ServiceNow. Las versiones futuras pueden proporcionar la opción de escribir en las notas de trabajo en su lugar.

Solución de problemas del complemento ServiceNow

Asegúrese de que se permiten las direcciones IP pertinentes para su región de la lista siguiente. Para obtener más información, consulte Direcciones IP de salida para Microsoft Security Copilot.

Pasos para agregar direcciones IP permitidas:

  1. Inicie sesión en la instancia de ServiceNow:

    • Use una cuenta con privilegios administrativos.

  2. Vaya a la configuración de Access Control IP. ServiceNow documentación sobre los pasos: Dirección IP Access Control:

    • En el panel de navegación izquierdo, busque "IP Access Control" o vaya a:
      Access Control ip de seguridad > del sistema

    Revise las direcciones IP de esta lista, seleccione la adecuada para su región y agréguela a la lista de permitidos con la dirección Tipo como entrante:

    Imagen de la autenticación basada en intervalos IP

Se producen errores

Si encuentra errores, como No se pudo completar la solicitud o Error desconocido, asegúrese de que el complemento está activado. Si el problema persiste, cierre la sesión de Security Copilot y vuelva a iniciar sesión.

Consultas no invocan las funcionalidades correctas

Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar. Puede usar el nombre de producto ServiceNowSIR en los mensajes o escribir el nombre de una funcionalidad específica, como <> en su lugar.

Enviar comentarios

Para proporcionar comentarios, póngase en contacto con ServiceNow administración de productos.

  • Last updated on