ServiceNow 대상(사용자 지정 Webhook)

Panther의 사용자 지정 Webhook 옵션을 사용하여 ServiceNow 알러트를 설정하기

개요

ServiceNow 콘솔에서 간단한 Scripted Rest API 구성을 통해 Panther에서 발생한 알러트를 새 인시던트에 직접 매핑할 수 있습니다. 알러트의 콘텐츠는 다음을 사용하여 사용자 지정할 수 있습니다. Python detections의 알러트 함수 및 YAML detections의 동적 알러트 키.

Panther 알러트에서 티켓을 생성하도록 ServiceNow를 구성하는 방법

Panther 알러트에서 티켓을 생성하도록 ServiceNow를 구성하려면, ServiceNow에서 Scripted REST API를 생성한 다음 ServiceNow 전달 URL을 사용하여 Panther에서 사용자 지정 웹훅 알러트 대상을 생성해야 합니다.

이 프로세스에 대한 추가 정보는 ServiceNow 문서에서 확인할 수 있습니다: ServiceNow에 Webhook을 통합하는 방법.

사전 요구 사항

완료하려면 이 프로세스의 1단계, Service Now에서 Scripted REST API를 생성하려면 ServiceNow 사용자에게 다음 권한이 있어야 합니다. web_service_admin 역할.

1단계: ServiceNow에서 Scripted REST API 생성

Scripted REST API에 대해 자세히 알아보려면 ServiceNow 문서를 참조하세요: Scripted REST APIs.

ServiceNow 콘솔에서 위에 나열된 검색용 로그 유형별 RBAC의 모든 탭을 왼쪽 상단 모서리에서 클릭합니다.
다음을 확장합니다 System Web Services 및 Scripted Web Services 탐색 메뉴를 확장한 다음 다음을 클릭합니다. Scripted REST APIs.
다음을 클릭하세요. 새로 만들기 를 오른쪽 상단 모서리에서 클릭합니다.
이름과 ID를 선택합니다. 예를 들면 다음과 같습니다. Panther Incident Creation 및 panther_incident_creation를 각각 클릭합니다.
다음을 클릭하세요. 제출.
Scripted Rest API 페이지에서 방금 생성한 이름을 검색합니다. 다음을 클릭합니다. 하이퍼링크된 이름.
페이지 하단 근처에서 다음을 클릭합니다. Resources 탭. 다음을 클릭하세요. 새로 만들기 오른쪽 모서리에 있는 버튼.

다음을 작성합니다 Scripted REST Resource 알러트 페이지:

Name: 설명적인 이름을 입력합니다. 예: Panther_알러트.
HTTP 메서드: POST를 선택합니다.

스크립트: 아래의 스키마 코드를 붙여넣습니다:

(function process(/*RESTAPIRequest*/ request, /*RESTAPIResponse*/ response) {

	// 서로 다른 필드를 준비합니다 
	var data = request.body.data;
	var title = data.title;
	var 알러트 = JSON.stringify(data);
	var 알러트Context = JSON.stringify(data.alertContext);
	var severity = data.severity;
	var link = data.link;
	var runbook = data.runbook;
	var type = data.type;
	var 알러트Id = data.alertId;
	
	var grIncident = new GlideRecord('incident');

	grIncident.initialize();
	
	grIncident.setValue('short_description', title);
	grIncident.setValue('description', 알러트 );
	grIncident.setValue('category', type);
	grIncident.setValue('subcategory', alertId);
	
	//우선순위를 Panther 심각도로 매핑
	if (severity == "CRITICAL" || severity == "HIGH") {
		grIncident.setValue('urgency','1');
		grIncident.setValue('impact','1');
	} else if (severity == "LOW" || severity == "MEDIUM") {
		grIncident.setValue('urgency','2');
	} else {
		grIncident.setValue('urgency','3');
	}
	
	//grIncident.insert();
	var recResponse = grIncident.insert(handleResponse);

	function handleResponse(recResponse, answer) {
	// answer는 생성된 레코드의 sys_id이거나 null입니다
	알러트('새로 생성된 sys_id는 - ' + answer + ' 입니다');
	}

	var url = gs.getProperty('glide.servlet.uri');

        //API 응답을 생성합니다. 이 예제는 위에서 생성된 incident ID를 반환합니다.
	var body = {};
	body.sys_id = recResponse;
	body.link = url + "task.do?sys_id=" + recResponse;
	response.setBody(body);
	
	//Panther에서 대상으로 생성 및 테스트할 때의 예제 테스트 이벤트
	//{"id":"Test.알러트","createdAt":"2022-04-26T03:17:32.099054303Z","severity":"INFO","type":"룰","link":"https://domain.runpanther.net","title":"이것은 테스트 알러트입니다","name":"Test 알러트","알러트Id":"Test.알러트","알러트Context":{},"description":"이것은 테스트 알러트입니다","runbook":"막혔나요? 문서를 확인하세요: https://docs.runpanther.io","tags":["test"],"version":"abcdefg"}

})(request, response);

아래 보안 탭에서 다음 옆의 체크박스를 선택 해제합니다 인증 필요.

다음을 클릭하세요. 제출.

위에 제공된 스키마는 Panther의 알러트 페이로드를 ServiceNow 티켓의 관련 필드에 매핑합니다. The ServiceNow 블로그 또한 POST 페이로드를 수신하는 다른 예제를 제공합니다. 각 고객 환경은 다릅니다. 알러트 페이로드가 처리되고 ServiceNow 티켓으로 파싱되는 방식에 가장 적합한 것을 선택하세요.

2단계: Panther에서 사용자 지정 웹훅 통합 만들기

Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. Configure > 알러트 대상.
다음을 클릭하세요. +첫 번째 대상 추가.
- 이미 대상을 생성한 경우 다음을 클릭합니다 새로 만들기 페이지 오른쪽 상단에서 새 대상을 추가합니다.
다음을 클릭하세요. 커스텀 웹훅 타일.
다음 항목에서 웹훅 대상 구성 페이지에서 양식을 작성하세요:
- 표시 이름: 설명적인 이름을 입력하세요.
- 사용자 지정 Webhook URL: 사용자 지정 웹훅 전달 URL을 입력하세요.
  - 웹훅 URL의 형식은 다음과 같습니다: https://<your_domain>.service-now.com/<base_api_path>
  - 이 값은 ServiceNow 콘솔에서 다음 값들을 결합하여 만들 수 있습니다:
    브라우저 주소 표시줄의 도메인
    다음의 값 기본 API 경로 필드
- 심각도 수준: 이 대상으로 보낼 알러트의 심각도 수준을 선택합니다.
- 기본 알러트 유형: 이 대상으로 보낼 알러트 유형을 선택합니다.
- 로그 유형: 기본적으로 모든 로그 유형의 알러트를 보냅니다. 특정 로그 유형의 알러트만 보내려면 여기에서 로그 유형을 지정하세요.
- 수동 전송 허용: 다음을 할 수 있도록 하려면 이 토글을 ON으로 설정합니다 알러트를 수동으로 전송 이 대상으로.
다음을 클릭하세요. 대상 추가.
다음을 클릭하세요. 테스트 알러트 보내기 모든 것이 올바르게 작동하는지 확인하기 위해
- 이제 ServiceNow Incidents 테이블에 테스트 이벤트가 존재해야 합니다.
다음을 클릭하세요. 설정을 완료하세요.

예시

다음을 클릭하세요. 테스트 알러트 알러트를 생성하여 ServiceNow로 전송하는 버튼; 알러트의 페이로드는 아래에 표시됩니다:

{"id":"Test.알러트","createdAt":"2022-04-26T03:17:32.099054303Z","severity":"INFO","type":"룰","link":"https://domain.runpanther.net","title":"이것은 테스트 알러트입니다","name":"테스트 알러트","alertId":"Test.알러트","알러트Context":{},"description":"이것은 테스트 알러트입니다","runbook":"막혔나요? 문서를 확인하세요: https://docs.runpanther.io","tags":["test"],"version":"1"}

ServiceNow가 알러트를 수신하면, ServiceNow Incident 테이블에 인시던트가 생성됩니다:

The Incident Table in ServiceNow contains a test alert.

이전Rapid7 대상 다음Slack Bot 대상

마지막 업데이트 3개월 전

도움이 되었나요?