plug-in ServiceNow pour Microsoft Security Copilot

Importante

Certaines informations contenues dans cet article concernent un produit pré-publié, qui peut être considérablement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

ServiceNow est un écosystème d’applications d’entreprise conçu pour connecter et automatiser les processus métier, fourni en tant qu’application SaaS. De nombreux centres d’opérations de sécurité (SOC) utilisent ServiceNow dans le cadre de leur flux de gestion des incidents et étendent souvent les fonctionnalités de base avec des personnalisations, des intégrations et des applications spécifiques à la sécurité.

Le plug-in Copilot for Security pour ServiceNow permet la connectivité entre une session Security Copilot et une file d’attente d’incidents ServiceNow. Les utilisateurs peuvent importer un incident ServiceNow dans Copilot for Security. Les utilisateurs peuvent facilement mettre en corrélation les données des produits de sécurité Microsoft tels que Defender pour point de terminaison, enrichir avec des informations sur les menaces externes et conserver les résultats de leur investigation dans ServiceNow. Ces fonctionnalités, combinées à l’invite narrative et à l’IA générative alimentée par Azure OpenAI, permettent d’accélérer la résolution des incidents. Ces fonctionnalités aident également les membres de l’équipe à améliorer les compétences et fournissent des vues plus complètes sur tout incident de sécurité.

Bon à savoir avant de commencer

Configuration requise

  • Produits pris en charge (cloud) :
    • package ServiceNow it Service Management (ITSM) – Application de réponse aux incidents
    • Package d’opérations de sécurité ServiceNow (SecOps) – Application de réponse aux incidents de sécurité
  • Accès à votre ServiceNow instance, avec des autorisations pour créer de nouveaux utilisateurs
  • Autorisations pour configurer des plug-ins
  • Quota d’API ServiceNow disponible

ServiceNow configuration

Il existe deux méthodes de connectivité pour ServiceNow :

Choisissez celui qui répond à vos besoins.

Flux d’octroi de code d’autorisation OAuth (intégration entrante ServiceNow) - Recommandé

Remarque

Avant de commencer, vérifiez que vous disposez de l’autorisation d’administrateur ServiceNow et de l’autorisation Propriétaire Security Copilot ou Contributeur.

  1. Vérifiez que le plug-in OAuth est actif et que la propriété d’activation OAuth est définie sur true. Suivez les liens pour activer les deux si elles ne sont pas activées par défaut.

  2. Accédez à votre ServiceNow instance et créez un objet Application Registry en procédant comme suit :

    1. Accédez à Registre d’applications OAuth > système, puis sélectionnez Nouveau.

    2. Sélectionnez Créer un point de terminaison d’API OAuth pour les clients externes.

      Image du type d’application OAuth

    3. Entrez un nom qui identifie l’intégration Security Copilot.

    4. Entrez l’URI de redirection correspondant au Security Copilot instance, par exemple https://securitycopilot.microsoft.com/auth/v1/callback.

    5. Attribuez une étendue d’authentification correspondant à vos besoins en matière de contrôle d’accès. L’étendue du compte d’utilisateur suffirait.

    6. Enregistrez l’objet Registre d’application.

    7. À partir de l’objet nouvellement créé, notez l’ID client et la clé secrète client.

    8. Cette configuration OAuth ne doit être effectuée qu’une seule fois par ServiceNow instance. L’objet OAuth Application Registry obtenu peut être utilisé plusieurs fois par différents utilisateurs.

Authentification HTTP De base

  1. Accédez à votre ServiceNow instance et recherchez l’option permettant de créer un utilisateur :

    1. Accédez à Informations > d’identification de découverte dans la plateforme ServiceNow.
    2. Sélectionnez Nouveau pour créer un enregistrement d’informations d’identification.
    3. Sélectionnez Authentification de base comme type d’informations d’identification. Entrez les détails suivants :
      1. Nom: Nom descriptif des informations d’identification.
      2. Nom d’utilisateur: Nom d’utilisateur pour l’authentification.
      3. Mot de passe: Mot de passe pour l’authentification.
      4. Enregistrez les informations d’identification.

  2. Attribuez les itil rôles et rest_api_explorer au nom d’utilisateur :

    1. Accédez à Administration des > utilisateurs Utilisateurs.
    2. Recherchez et sélectionnez le nom d’utilisateur créé.
    3. Dans la liste Rôles associés, sélectionnez Modifier.
    4. Ajoutez itil des rôles et rest_api_explorer à partir de la liste des rôles disponibles.
    5. Enregistrez les attributions de rôles.

  3. Notez les informations d’identification et l’URL ServiceNow instance.

connexion Security Copilot

  1. Connectez-vous à Microsoft Security Copilot.

  2. Accédez à Gérer les plug-ins en sélectionnant le bouton Sources dans la barre d’invite.

    Image de la configuration de ServiceNow dans le panneau Gérer les ressources

  3. En regard de ServiceNow, sélectionnez Configurer.

    Image de la configuration ServiceNow partie 1

    Remarque

    Veillez à faire défiler tout le chemin vers le bas pour atteindre d’autres champs tels que étendues.

    Image de la configuration ServiceNow partie 2

  4. Accordez votre consentement à l’application Security Copilot afin que vous puissiez accéder à votre ServiceNow instance.

    Image de l’octroi du consentement à la connexion.

  5. Instructions authorization_code OAuth

    1. Entrez les paramètres d’authentification correspondant à l’objet Application Registry que vous avez créé précédemment.
    2. L’URL instance, l’ID client et la clé secrète client correspondent aux valeurs du même nom dans l’objet Registre d’application. Pour déterminer ce qu’il faut entrer pour chaque valeur, reportez-vous au tableau suivant :
    Nom du paramètre Description Exemple
    Type d’incident par défaut Type d’incident par défaut lorsque le type n’est pas fourni dans les invites. Doit être l’un des éléments suivants : INC ou SIR INC ou SIR
    Instance Définir sur l’URL ServiceNow instance https://xyz.service-now.com/
    Clientid Définir sur l’ID client dans ServiceNow’objet Application Registry
    ClientSecret Définir sur clé secrète client dans ServiceNow’objet Application Registry
    AuthorizationEndpoint Défini sur https://<service-now-instance-domain>/oauth_auth.do. https://xyz.service-now.com/ oauth_auth.do
    TokenEndpoint Définir sur https://<service-now-instance-domain>/oauth_token.do. https://xyz.service-now.com/ oauth_token.do
    Étendues Définissez sur les étendues définies dans l’objet ServiceNow Application Registry. Séparez plusieurs étendues par des virgules. compte d’utilisateur
    AuthorizationContentType Doit rester inchangé par rapport à l’application par défaut/x-www-form-urlencoded application/x-www-form-urlencoded
    Resource ID de ressource Peut être laissé vide

  6. Sélectionnez Enregistrer ou Se connecter pour terminer l’installation.

    Remarque

    Actuellement, le système ne valide pas vos informations d’identification lorsque vous enregistrez vos paramètres. Si elles ne sont pas correctes, une erreur s’affiche ultérieurement lorsque Security Copilot tente d’appeler le plug-in ServiceNow.

  7. Fermez la fenêtre des plug-ins.

Exemples d’invites de ServiceNow

Security Copilot fonctionne principalement avec des invites en langage naturel. Lorsque vous êtes prêt à charger un incident dans votre session de Security Copilot ou à rechercher des incidents ServiceNow associés, vous envoyez une invite qui guide Security Copilot pour sélectionner l’ensemble de compétences ServiceNow et appeler la compétence appropriée.

Lorsque vous créez votre invite, veillez à mention ServiceNow comme source préférée de votre incident. Security Copilot pouvez vous connecter à plusieurs systèmes qui fournissent chacun des incidents, et il bénéficie de conseils sur la source que vous préférez.

Exemples d’invites pour les requêtes d’incident :

  • « Charger ServiceNow INC12345 d’incident »
  • « Quels ServiceNow incidents font référence à l’adresse IP 10.0.0.1 ? »
  • « Montre-moi la gravité élevée récente ServiceNow incidents »
  • « Afficher les détails du troisième incident »
  • « Quel est le score de réputation MDTI pour ces adresses IP ? »
  • « Écrire un lien vers cette enquête Copilot pour ServiceNow INC12345 d’incident »
  • « Écrivez le texte suivant dans cet incident ServiceNow : Investigated with Security Copilot and deployed new detection logic. »
  • « Rédiger un résumé de cette enquête pour ServiceNow INC12345 d’incident »
  • « Résumez cette enquête et écrivez-la sous la forme d’un commentaire sur l’incident ServiceNow. »

Ajout de commentaires aux incidents ServiceNow

S’il est activé avec les autorisations appropriées, le connecteur ServiceNow peut ajouter des commentaires à ServiceNow incidents. Le texte du commentaire peut être fourni par l’utilisateur ou provenir de fonctionnalités Security Copilot, telles que des liens de partage de session ou des résumés d’investigation d’invite épinglés.

Voici quelques exemples d’invites :

  • « Écrire un lien vers cette enquête Copilot pour ServiceNow INC12345 d’incident »

Après le chargement d’un incident :

  • « Écrivez le texte suivant dans cet incident ServiceNow : Investigated with Security Copilot and deployed new detection logic. »

Après avoir épinglage de quelques invites :

  • « Écrivez un résumé de cette enquête pour ServiceNow INC12345 d’incident » ou si la session est déjà chargée « Résumez cette enquête et écrivez-la en tant que commentaire sur l’incident ServiceNow . »

Remarque

La version actuelle du plug-in ajoute des commentaires à l’incident ServiceNow. Les versions ultérieures peuvent fournir la possibilité d’écrire dans les notes de travail à la place.

Résoudre les problèmes liés au plug-in ServiceNow

Vérifiez que les adresses IP appropriées pour votre région dans la liste suivante sont autorisées. Pour plus d’informations, consultez Adresses IP de sortie pour Microsoft Security Copilot.

Étapes pour ajouter des adresses IP autorisées :

  1. Connectez-vous à votre instance ServiceNow :

    • Utilisez un compte avec des privilèges d’administrateur.

  2. Accédez à l’adresse IP Access Control Paramètres. ServiceNow documentation sur les étapes : Adresse IP Access Control :

    • Dans le volet de navigation gauche, recherchez « IP Access Control » ou accédez à :
      Access Control IP de sécurité > du système

    Passez en revue les adresses IP de cette liste, sélectionnez celle qui convient à votre région et ajoutez-la à la liste d’autorisation avec la direction Type entrant :

    Image de l’authentification basée sur la plage d’adresses IP

Des erreurs se produisent

Si vous rencontrez des erreurs, telles que Impossible de terminer votre demande ou Une erreur inconnue s’est produite, vérifiez que le plug-in est activé. Si le problème persiste, déconnectez-vous de Security Copilot, puis reconnectez-vous.

Requêtes n’appellent pas les fonctionnalités appropriées

Si les invites n’appellent pas les fonctionnalités appropriées, ou si les invites appellent un autre ensemble de fonctionnalités, vous pouvez avoir des plug-ins personnalisés ou d’autres plug-ins qui ont des fonctionnalités similaires à celles que vous souhaitez utiliser. Vous pouvez utiliser le nom de produit ServiceNowSIR dans vos invites, ou taper le nom d’une fonctionnalité spécifique, comme <> à la place.

Envoyer des commentaires

Pour fournir des commentaires, contactez ServiceNow gestion des produits.

  • Last updated on