# ServiceNow 대상 (Custom Webhook) ## 개요 ServiceNow 콘솔에서 간단한 Scripted Rest API 구성을 통해 Panther에서 발생한 알러트를 새 인시던트에 직접 매핑할 수 있습니다. 알러트의 콘텐츠는 다음을 사용하여 사용자 지정할 수 있습니다. [Python detections의 알러트 함수](/ko/detections/rules/python.md#alert-functions-in-python-detections) 및 [YAML detections의 동적 알러트 키](/ko/detections/rules/writing-simple-detections.md#dynamic-alert-keys-in-yaml-detections). ## Panther 알러트에서 티켓을 생성하도록 ServiceNow를 구성하는 방법 Panther 알러트에서 티켓을 생성하도록 ServiceNow를 구성하려면, ServiceNow에서 Scripted REST API를 생성한 다음 ServiceNow 전달 URL을 사용하여 Panther에서 사용자 지정 웹훅 알러트 대상을 생성해야 합니다. {% hint style="info" %} 이 프로세스에 대한 추가 정보는 ServiceNow 문서에서 확인할 수 있습니다: [ServiceNow에 Webhook을 통합하는 방법](https://www.servicenow.com/community/in-other-news/how-to-integrate-webhooks-into-servicenow/ba-p/2271745). {% endhint %} ### 사전 요구 사항 * 완료하려면 [이 프로세스의 1단계](#step-1-create-a-scripted-rest-api-in-servicenow), Service Now에서 Scripted REST API를 생성하려면 ServiceNow 사용자에게 다음 권한이 있어야 합니다. `web_service_admin` 역할. ### 1단계: ServiceNow에서 Scripted REST API 생성 {% hint style="info" %} Scripted REST API에 대해 자세히 알아보려면 ServiceNow 문서를 참조하세요: [Scripted REST APIs](https://docs.servicenow.com/bundle/washingtondc-api-reference/page/integrate/custom-web-services/concept/c_CustomWebServices.html). {% endhint %} 1. ServiceNow 콘솔에서 **위에 나열된 검색용 로그 유형별 RBAC의 모든** 탭을 왼쪽 상단 모서리에서 클릭합니다. 2. 다음을 확장합니다 **System Web Services** 및 **Scripted Web Services** 탐색 메뉴를 확장한 다음 다음을 클릭합니다. **Scripted REST APIs.**\ In the ServiceNow console, the "All" tab is selected at the top. In the navigation menu, System Web Services is expanded, and Scripted REST APIs is highlighted. 3. 다음을 클릭하세요. **새로 만들기** 를 오른쪽 상단 모서리에서 클릭합니다. 4. 이름과 ID를 선택합니다. 예를 들면 다음과 같습니다. `Panther Incident Creation` 및 `panther_incident_creation`를 각각 클릭합니다.\ ![The image shows the form to create a new Scripted REST Service in ServiceNow. It contains fields for Name, API ID, Protection Policy, Application, and API namespace.](/files/8000223ddaea5982e5b1fc5e99ae3d285769823a) 5. 다음을 클릭하세요. **제출**. 6. Scripted Rest API 페이지에서 방금 생성한 이름을 검색합니다. 다음을 클릭합니다. **하이퍼링크된 이름.** 7. 페이지 하단 근처에서 다음을 클릭합니다. **Resources 탭.** 다음을 클릭하세요. **새로 만들기** 오른쪽 모서리에 있는 버튼. 8. 다음을 작성합니다 **Scripted REST Resource 알러트** 페이지: * **Name:** 설명적인 이름을 입력합니다. 예: `Panther_알러트`.\ ![The image shows the Scripted REST Resource configuration page in Service Now. The "Name" field has a red circle around it, and it is filled in with "Panther\_Alert".](/files/d6fd55c9d91877b594ae79585d2431e5b411422d) * **HTTP 메서드:** POST를 선택합니다. * **스크립트:** 아래의 스키마 코드를 붙여넣습니다: * ``` (function process(/*RESTAPIRequest*/ request, /*RESTAPIResponse*/ response) { // 서로 다른 필드를 준비합니다 var data = request.body.data; var title = data.title; var 알러트 = JSON.stringify(data); var 알러트Context = JSON.stringify(data.alertContext); var severity = data.severity; var link = data.link; var runbook = data.runbook; var type = data.type; var 알러트Id = data.alertId; var grIncident = new GlideRecord('incident'); grIncident.initialize(); grIncident.setValue('short_description', title); grIncident.setValue('description', 알러트 ); grIncident.setValue('category', type); grIncident.setValue('subcategory', alertId); //우선순위를 Panther 심각도로 매핑 if (severity == "CRITICAL" || severity == "HIGH") { grIncident.setValue('urgency','1'); grIncident.setValue('impact','1'); } else if (severity == "LOW" || severity == "MEDIUM") { grIncident.setValue('urgency','2'); } else { grIncident.setValue('urgency','3'); } //grIncident.insert(); var recResponse = grIncident.insert(handleResponse); function handleResponse(recResponse, answer) { // answer는 생성된 레코드의 sys_id이거나 null입니다 알러트('새로 생성된 sys_id는 - ' + answer + ' 입니다'); } var url = gs.getProperty('glide.servlet.uri'); //API 응답을 생성합니다. 이 예제는 위에서 생성된 incident ID를 반환합니다. var body = {}; body.sys_id = recResponse; body.link = url + "task.do?sys_id=" + recResponse; response.setBody(body); //Panther에서 대상으로 생성 및 테스트할 때의 예제 테스트 이벤트 //{"id":"Test.알러트","createdAt":"2022-04-26T03:17:32.099054303Z","severity":"INFO","type":"룰","link":"https://domain.runpanther.net","title":"이것은 테스트 알러트입니다","name":"Test 알러트","알러트Id":"Test.알러트","알러트Context":{},"description":"이것은 테스트 알러트입니다","runbook":"막혔나요? 문서를 확인하세요: https://docs.runpanther.io","tags":["test"],"version":"abcdefg"} })(request, response); ``` * 아래 **보안** 탭에서 다음 옆의 체크박스를 선택 해제합니다 **인증 필요**.\ ![The Security tab is displayed in ServiceNow. The "Requires Authentication" box is circled, and the box next to it is not checked.](/files/0aa38bb85dbb9430ff7b5c30d962a41b39e3e61d) 9. 다음을 클릭하세요. **제출**. {% hint style="warning" %} 위에 제공된 스키마는 Panther의 알러트 페이로드를 ServiceNow 티켓의 관련 필드에 매핑합니다. The [ServiceNow 블로그](https://community.servicenow.com/community?id=community_blog\&sys_id=886d2a29dbd0dbc01dcaf3231f9619b0) 또한 POST 페이로드를 수신하는 다른 예제를 제공합니다. 각 고객 환경은 다릅니다. 알러트 페이로드가 처리되고 ServiceNow 티켓으로 파싱되는 방식에 가장 적합한 것을 선택하세요. {% endhint %} ### 2단계: Panther에서 사용자 지정 웹훅 통합 만들기 1. Panther Console의 왼쪽 탐색 모음에서 다음을 클릭하세요. **Configure > 알러트 대상.** 2. 다음을 클릭하세요. **+첫 번째 대상 추가**. * 이미 대상을 생성한 경우 다음을 클릭합니다 **새로 만들기** 페이지 오른쪽 상단에서 새 대상을 추가합니다. 3. 다음을 클릭하세요. **커스텀 웹훅** 타일. 4. 다음 항목에서 **웹훅 대상 구성** 페이지에서 양식을 작성하세요: * **표시 이름:** 설명적인 이름을 입력하세요. * **사용자 지정 Webhook URL**: 사용자 지정 웹훅 전달 URL을 입력하세요. * 웹훅 URL의 형식은 다음과 같습니다: `https://.service-now.com/` * 이 값은 ServiceNow 콘솔에서 다음 값들을 결합하여 만들 수 있습니다: * 브라우저 주소 표시줄의 도메인 * 다음의 값 **기본 API 경로** 필드
The servicenow console is shown, with various fields visible, like Name and API ID. Two areas are highlighted: the domain in the URL address bar, and the Base API path field.
* **심각도 수준**: 이 대상으로 보낼 알러트의 심각도 수준을 선택합니다. * **기본 알러트 유형**: 이 대상으로 보낼 알러트 유형을 선택합니다. * **로그 유형**: 기본적으로 모든 로그 유형의 알러트를 보냅니다. 특정 로그 유형의 알러트만 보내려면 여기에서 로그 유형을 지정하세요. * **수동 전송 허용**: 다음을 할 수 있도록 하려면 이 토글을 ON으로 설정합니다 [알러트를 수동으로 전송](https://docs.panther.com/alerts#manual-alert-dispatch) 이 대상으로.\ ![In the Panther Console, the "Configure your Custom Webhook Destination" page is displayed. It contains fields for Display Name, Custom Webhook URL, Severity, Alert Types, and Log Types.](/files/062a1e847a2c987d6564d803af42da47e9f80da8) 5. 다음을 클릭하세요. **대상 추가**. 6. 다음을 클릭하세요. **테스트 알러트 보내기** 모든 것이 올바르게 작동하는지 확인하기 위해 * 이제 ServiceNow Incidents 테이블에 테스트 이벤트가 존재해야 합니다.\ ![The image shows the Incidents Table in ServiceNow. There is a test event highlighted in the list.](/files/1f6cbbc9ff1760fe67babf0a6bbc5f8ec5740ff9) 7. 다음을 클릭하세요. **설정을 완료하세요.** ### 예시 다음을 클릭하세요. **테스트 알러트** 알러트를 생성하여 ServiceNow로 전송하는 버튼; 알러트의 페이로드는 아래에 표시됩니다: ```json {"id":"Test.알러트","createdAt":"2022-04-26T03:17:32.099054303Z","severity":"INFO","type":"룰","link":"https://domain.runpanther.net","title":"이것은 테스트 알러트입니다","name":"테스트 알러트","alertId":"Test.알러트","알러트Context":{},"description":"이것은 테스트 알러트입니다","runbook":"막혔나요? 문서를 확인하세요: https://docs.runpanther.io","tags":["test"],"version":"1"} ``` ServiceNow가 알러트를 수신하면, ServiceNow Incident 테이블에 인시던트가 생성됩니다:
The Incident Table in ServiceNow contains a test alert.
--- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.panther.com/ko/alerts/destinations/servicenow.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.