ServiceNow ITSM

概要

Keeper Security ITSMアプリケーションは、Keeper SecurityのアラートとServiceNowのサービスインシデントレスポンス (SIR) モジュールの間で、安全かつ効率的な連携を実現します。これによりKeeperが生成したセキュリティアラートの取り込み、変換、ServiceNowでのセキュリティインシデントチケットとしての作成を自動化し、一元管理できます。

この連携によりセキュリティチームは可視性を維持し、対応スピードを向上させ、既存のServiceNow SIRワークフローに沿ってKeeperのアラートを一貫して処理できます。

ITSMアプリケーションはServiceNow Storeにて入手できます。

機能

• Keeper Securityのアラートやインシデントを、保護されたWebhookエンドポイント経由で受信し、認可されたソースのみがデータを送信できるようにする。

• WebhookエンドポイントをOAuth 2.0で保護し、外部システムが安全にトークンベースでアクセスできるようにする。

• 管理者はアプリケーション内でBearerトークンを生成・管理でき、Keeper Securityアラートモジュールとのシームレスな連携が可能。

• ガイド付きセットアップにより、認証設定、データ取り込みの検証、エンドツーエンドの運用確認をコード不要で実施できる。

• 受信したアラートをカスタムインポートセットテーブルに保存し、事前定義されたマッピングに基づいて自動的にSIRレコードへ変換する。

• Keeper Securityアラートタイプに応じたカスタム優先度マッピングを提供し、SIR管理者が優先度に応じてインシデントに取り組めるようにする。

活用事例

以下のように、どのKeeperイベントもSIRインシデントに紐付けることができます。

KeeperボルトでのパスワードBreachWatch検知

• トリガー BreachWatchがKeeperボルト内で、脆弱なパスワードを使用しているレコードを検知する。

• アクション BreachWatchインシデントを含むアラートが、ServiceNowのWebhookへ送信される。

• ServiceNow SIR Keeper Security ITSMアプリがアラートを受信し、優先度マッピングを確認した上でSecurity Incident Responseチケットを作成する。

• 結果 SIR管理者は作成されたインシデントを確認し、対応作業を進めることができる。

特権ユーザー行動監視

• トリガー 管理者ユーザーがKeeper管理アカウントで新しいチーム、または新しいポリシーを作成する。

• アクション インシデント情報を含むアラートがServiceNowのWebhookへ送信される。

• ServiceNow SIR Keeper Security ITSMアプリがアラートを受信し、優先度マッピングを確認した上でSecurity Incident Responseチケットを作成する。

• 結果 SIR管理者は作成されたインシデントを確認し、対応作業を進めることができる。

要件

• Keeper管理コンソールでアラート設定が構成されていること

• ServiceNowでSecurity Incident Response (sn_si) モジュールが有効であること

ServiceNowで必要となるロール

構成手順

ServiceNowでアプリケーションを構成する

ServiceNowプラットフォーム上でKeeper Security ITSM App for ServiceNowを構成するには、次の手順を実行します。

1. 管理者権限を使用してServiceNowにログインします。

2. [All] タブに移動し、「Keeper Security Ticketing」 と検索して [Guided Setup] (ガイド付きセットアップ) を選択します。

1. [Create a ServiceNow integration account] (ServiceNow統合アカウントの作成) をクリックし、 [Configure] (構成) を選択します。

2. User IDを入力し、[Internal Integration User] (内部統合ユーザー) チェックボックスをオンにします。 ユーザーが作成されたら、そのユーザーをクリックし、[Set password] (パスワード設定) をクリックします。 ユーザーに x_keese_keeper_sec.keeper_security_app ロールを付与します。

1. [Guided Setup] (ガイド付きセットアップ) 内で、[Create System OAuth Application Registry] (System OAuthアプリケーションレジストリの作成) セクションの [Configure] (構成) をクリックします。つづいて [New] をクリックし、[Create an OAuth API endpoint for external clients] (外部クライアント用OAuth APIエンドポイントの作成) を選択します。

1. [Create an OAuth registry] (OAuthレジストリの作成) を選択し、フォームに必要項目を入力します。

1. [Guided Setup] (ガイド付きセットアップ) 内で、[Select your credentials for generating token] (トークン生成に使用する認証情報の選択) セクションの [Configure] (構成) をクリックします。続いて [New] をクリックします。

1. フォームが正しく入力されると、Auth tokenとwebhook URLを使用してKeeper管理コンソール側のアラート設定を構成できるようになります。

Keeper管理コンソールでのアラート構成

1. Keeper管理コンソールにログインし、[レポートとアラート] > [アラート] をクリックします。

2. [アラート名] に「ServiceNow Alerts」と入力します。

1. [受信者を追加] > [Webhookを追加] をクリックします。

2. ServiceNow側のアプリ構成手順 (5) で取得したURLとトークンを入力します。

1. [保存] をクリックします。

これで、Keeper Securityは設定したWebhook URLとトークンを使用して、ServiceNowインスタンスにアラートを送信するようになります。

1. ServiceNowでセキュリティインシデントを確認するには、[All] タブに移動し、「Keeper Security Ticketing」を検索して、「Keeper Security Incidents」を開きます。

1. Keeper から送信された追加のアラートペイロードについては、[Security Incident] (セキュリティインシデント) フォーム内で詳細を確認することもできます。

Keeperアラートの優先度レベルを構成する

[Guided Setup] (ガイド付きセットアップ) では、「Keeper Security Event Types」に対する優先度レベルを構成できます。これにより、Keeperの各イベントをServiceNowのインシデント優先度へマッピングできます。

構成のテスト

構成の完了後、Keeperからアラートを送信し、「Keeper Security Alerts – Import」テーブルを確認できます。ここに新しいエントリーが表示されると、接続が正常に確立されたことがわかります。

トラブルシューティング

Keeperに新しいイベントタイプが追加された場合、ユーザーは sys_choice テーブルにその新しいイベントタイプを追加して構成できます。

そのような場合は、以下の手順を行います。

1. [All] で「System Definition」を検索します。

2. [Choice Lists] (選択リスト) を開きます。

1. [New] をクリックすると下にフォームが表示されます。

• [Table] に「Keeper Security Events Types」を選択します。

• [Element] に「Keeper Security Event Types」を選択します。

• [Label] には、新しいイベントタイプの名称を入力します。

• [Value] には、その新しいイベントタイプに対して、アラートペイロード内のカテゴリフィールドに含まれる値を入力します。

1. 入力が終わると、[Submit] (提出) をクリックします。

2. [Guided Setup] (ガイド付きセットアップ) に戻り、先ほど作成した新しいイベントタイプの優先度を構成します。