# ServiceNow ITSM
## **概要** Keeper Security ITSMアプリケーションは、Keeper SecurityのアラートとServiceNowのサービスインシデントレスポンス (SIR) モジュールの間で、安全かつ効率的な連携を実現します。これによりKeeperが生成したセキュリティアラートの取り込み、変換、ServiceNowでのセキュリティインシデントチケットとしての作成を自動化し、一元管理できます。 この連携によりセキュリティチームは可視性を維持し、対応スピードを向上させ、既存のServiceNow SIRワークフローに沿ってKeeperのアラートを一貫して処理できます。 ITSMアプリケーションは[ServiceNow Store](https://store.servicenow.com/store/app/e26cda5893a97a90a0f2fc1d6cba105a)にて入手できます。 ## **機能** * Keeper Securityのアラートやインシデントを、保護されたWebhookエンドポイント経由で受信し、認可されたソースのみがデータを送信できるようにする。 * WebhookエンドポイントをOAuth 2.0で保護し、外部システムが安全にトークンベースでアクセスできるようにする。 * 管理者はアプリケーション内でBearerトークンを生成・管理でき、Keeper Securityアラートモジュールとのシームレスな連携が可能。 * ガイド付きセットアップにより、認証設定、データ取り込みの検証、エンドツーエンドの運用確認をコード不要で実施できる。 * 受信したアラートをカスタムインポートセットテーブルに保存し、事前定義されたマッピングに基づいて自動的にSIRレコードへ変換する。 * Keeper Securityアラートタイプに応じたカスタム優先度マッピングを提供し、SIR管理者が優先度に応じてインシデントに取り組めるようにする。 ## 活用事例 以下のように、どのKeeperイベントもSIRインシデントに紐付けることができます。 ### **KeeperボルトでのパスワードBreachWatch検知** * **トリガー**\ BreachWatchがKeeperボルト内で、脆弱なパスワードを使用しているレコードを検知する。 * **アクション**\ BreachWatchインシデントを含むアラートが、ServiceNowのWebhookへ送信される。 * **ServiceNow SIR**\ Keeper Security ITSMアプリがアラートを受信し、優先度マッピングを確認した上でSecurity Incident Responseチケットを作成する。 * **結果**\ SIR管理者は作成されたインシデントを確認し、対応作業を進めることができる。 ### **特権ユーザー行動監視** * **トリガー**\ 管理者ユーザーがKeeper管理アカウントで新しいチーム、または新しいポリシーを作成する。 * **アクション**\ インシデント情報を含むアラートがServiceNowのWebhookへ送信される。 * **ServiceNow SIR**\ Keeper Security ITSMアプリがアラートを受信し、優先度マッピングを確認した上でSecurity Incident Responseチケットを作成する。 * **結果**\ SIR管理者は作成されたインシデントを確認し、対応作業を進めることができる。 ## **要件** * Keeper管理コンソールでアラート設定が構成されていること * ServiceNowでSecurity Incident Response (`sn_si`) モジュールが有効であること ## ServiceNowで必要となるロール | アプリケーションメニュー | 必要なロール | | -------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------- | |
  1. Guided Setup
|
  1. admin
  2. x\_keese\_keeper\_sec.guided\_setup\_user
| |
  1. Keeper Security Alerts - Import
|
  1. x\_keese\_keeper\_sec.ks\_incidents
| |
  1. Keeper Security Incident
|
  1. x\_keese\_keeper\_sec.ks\_incidents
  2. sn\_si.admin
| |
  1. Application Logs
  2. Support Page
  3. App Privacy Policy
|
  1. workflow\_admin
  2. x\_keese\_keeper\_sec.support\_user
| ## 構成手順 ### ServiceNowでアプリケーションを構成する ServiceNowプラットフォーム上でKeeper Security ITSM App for ServiceNowを構成するには、次の手順を実行します。 1. 管理者権限を使用してServiceNowにログインします。 2. **\[All]** タブに移動し、「**Keeper Security Ticketing」** と検索して **\[Guided Setup]** (ガイド付きセットアップ) を選択します。
3. **\[Create a ServiceNow integration account]** (ServiceNow統合アカウントの作成) をクリックし、 **\[Configure]** (構成) を選択します。 4. **User ID**を入力し、**\[Internal Integration User]** (内部統合ユーザー) チェックボックスをオンにします。\ ユーザーが作成されたら、そのユーザーをクリックし、**\[Set password]** (パスワード設定) をクリックします。\ ユーザーに `x_keese_keeper_sec.keeper_security_app` ロールを付与します。
5. **\[Guided Setup]** (ガイド付きセットアップ) 内で、**\[Create System OAuth Application Registry]** (System OAuthアプリケーションレジストリの作成) セクションの **\[Configure]** (構成) をクリックします。つづいて **\[New]** をクリックし、**\[Create an OAuth API endpoint for external clients]** (外部クライアント用OAuth APIエンドポイントの作成) を選択します。
6. **\[Create an OAuth registry]** (OAuthレジストリの作成) を選択し、フォームに必要項目を入力します。
7. **\[Guided Setup]** (ガイド付きセットアップ) 内で、**\[Select your credentials for generating token]** (トークン生成に使用する認証情報の選択) セクションの **\[Configure]** (構成) をクリックします。続いて **\[New]** をクリックします。
8. フォームが正しく入力されると、**Auth token**と**webhook URL**を使用してKeeper管理コンソール側のアラート設定を構成できるようになります。
## Keeper管理コンソールでのアラート構成 1. Keeper管理コンソールにログインし、**\[レポートとアラート]** > **\[アラート]** をクリックします。 2. **\[アラート名]** に**「ServiceNow Alerts」**と入力します。
3. **\[受信者を追加] > \[Webhookを追加]** をクリックします。 4. ServiceNow側のアプリ構成手順 (5) で取得した**URL**と**トークン**を入力します。
5. **\[保存]** をクリックします。 これで、Keeper Securityは設定した**Webhook URL**と**トークン**を使用して、ServiceNowインスタンスにアラートを送信するようになります。 6. ServiceNowでセキュリティインシデントを確認するには、**\[All]** タブに移動し、**「Keeper Security Ticketing」**を検索して、**「Keeper Security Incidents」**を開きます。
7. Keeper から送信された追加のアラートペイロードについては、**\[Security Incident]** (セキュリティインシデント) フォーム内で詳細を確認することもできます。
#### **Keeperアラートの優先度レベルを構成する** **\[Guided Setup]** (ガイド付きセットアップ) では、「Keeper Security Event Types」に対する優先度レベルを構成できます。これにより、Keeperの各イベントをServiceNowのインシデント優先度へマッピングできます。
## 構成のテスト 構成の完了後、Keeperからアラートを送信し、「**Keeper Security Alerts – Import」**テーブルを確認できます。ここに新しいエントリーが表示されると、接続が正常に確立されたことがわかります。 ## トラブルシューティング Keeperに新しいイベントタイプが追加された場合、ユーザーは `sys_choice` テーブルにその新しいイベントタイプを追加して構成できます。 そのような場合は、以下の手順を行います。 1. **\[All]** で**「System Definition」**を検索します。 2. **\[Choice Lists]** (選択リスト) を開きます。
2. **\[New]** をクリックすると下にフォームが表示されます。
* **\[Table]** に**「Keeper Security Events Types」**を選択します。 * **\[Element]** に**「Keeper Security Event Types」**を選択します。 * **\[Label]** には、新しいイベントタイプの名称を入力します。 * **\[Value]** には、その新しいイベントタイプに対して、アラートペイロード内のカテゴリフィールドに含まれる値を入力します。
3. 入力が終わると、**\[Submit]** (提出) をクリックします。 4. **\[Guided Setup]** (ガイド付きセットアップ) に戻り、先ほど作成した新しいイベントタイプの優先度を構成します。 ## 対応アラート 本連携は、Keeper Securityの300種類以上の詳細なイベントタイプに対応しています。 {% embed url="" %} Keeper SecurityからServiceNow ITSMへの対応イベントタイプ {% endembed %}