Cisco XDR で検知したインシデントを ServiceNow に連携するカスタムワークフローの設定手順
今回は Cisco XDR で検出したインシデント(アラート)を ServiceNow に連携させるためのカスタムワークフロー設定手順をご紹介します。なお、ServiceNow 側での設定は一切不要です。(1/25/2024 Update)
まずは、カスタムワークフローで利用される ServiceNow アカウントへのログインクレデンシャル情報を Cisco XDR ダッシュボード上の “Account Keys” タブから下記のように設定します。
次に、上記のクレデンシャル情報を使ったアクセス先(URL やプロトコル情報)を “Targets” タブから設定します。
次は “Workflows” のタブからカスタムワークフローの作成です。これが連携手順の中核をなす部分です。プログラミングの知識がなくても作れるように設計されていますが、ゼロからの作成はかなり難しいです。しかし、Cisco XDR では 300 以上の Atomic Actions というワークフロー内で使える部分的な機能(モジュールのようなもの)が用意されています。ServiceNow との連携に必要な Atomic Actions もありますので今回はそれをそのまま使用することで対応できます。もちろん、個別の要件に合わせたカスタマイズも可能です。
上記のワークフローの中で先ほど “Targets” タブ内で作成した ServiceNow へのアクセス情報を指定しています(設定画面は省略)。
最後の設定は “Triggers” タブです。ここで記載する条件(Conditions 欄)に合致したワークフローが実行されます。今回は上記で作成した Cisco XDR インシデントを ServiceNow に自動で連携/通知するワークフローを指定します。下記のように Conditions 欄を空欄にすると全てのインシデントが連携されますが、その場合でも 2024 年 1 月時点では脅威スコアが 500 以上のインシデントのみがワークフロー実行対象となっています(まもなく 500 未満のものも対応見込み)。
ここからは実行結果画面をお見せします。まずはツールを使って Cisco XDR でインシデントを生成させます。脅威スコア 1000 で生成されたことを確認します。
次に、先ほど Triggers タブで定義したワークフローが自動実行されていることを “Runs” タブで確認します。Status が Success になっているため正常に実行され、ServiceNow 側に連携されているはずです。
それでは ServiceNow 側を見てみましょう。下記の通り無事にチケットが生成されていることを確認できました。
今回は既知の Atomic Actions を利用することで簡単にワークフローを作成できることをお伝えしました。もし個別にご質問等ございましたらお気軽にお問合せください。
