ServiceNow Ticket-Aktionen

Die ServiceNow-Integration ermöglicht die automatische Erstellung von Incident-Tickets in ServiceNow, wenn Hydden Discovery Ereignisse auftreten. Verwenden Sie ServiceNow-Workflows, um Tickets für Bedrohungserkennung, Erfassungsfehler, Datenvalidierungsprobleme und Klassifizierungsänderungen zu erstellen.

Übersicht

ServiceNow-Provider verbinden sich mit der Table API Ihrer ServiceNow-Instanz, um automatisch Incident-Tickets zu erstellen. Jeder Workflow kann Tickets erstellen mit:

• Short Description: Kurzer Tickettitel mit Vorlagenvariablen
• Description: Detaillierter Tickettext mit Ereigniskontext
• Automatische Erstellung: Tickets werden sofort erstellt, wenn Ereignisse auftreten
• Vorlagenvariablen: Dynamischer Inhalt aus Trigger-Ereignissen

Voraussetzungen

Vor der Konfiguration der ServiceNow-Integration:

• ServiceNow-Instanz: Eine aktive ServiceNow-Instanz mit dem Incident Management Modul
• ServiceNow-Anmeldeinformation: Ein ServiceNow-Benutzerkonto mit Incident-Erstellungsberechtigungen
• Netzwerkzugriff: Hydden Discovery muss den Endpunkt Ihrer ServiceNow-Instanz erreichen können
• Kontotyp: Das ServiceNow-Konto sollte als Web Service Access Only für den API-Zugriff markiert sein
• Berechtigungen: Der ServiceNow-Benutzer muss die Rolle itil oder gleichwertige Berechtigungen zur Incident-Erstellung haben

NOTE

Für die ServiceNow Incident Management-Erstellung sollte das ServiceNow-Konto als Web Service Access Only-Konto markiert sein. Benutzerdefinierte Rollen sind nicht erforderlich, aber das Konto muss die Berechtigung haben, POST-Anfragen an /api/now/table/incident zu senden.

ServiceNow-Provider erstellen

So fügen Sie einen ServiceNow-Provider hinzu:

1. Navigieren Sie in Hydden zu Configuration > Automate.
2. Klicken Sie auf der Registerkarte Providers auf + Add New.
3. Wählen Sie aus dem Drop-down Type den Eintrag ServiceNow.
4. Geben Sie unter Name einen beschreibenden Provider-Namen ein (z. B. "ServiceNow Production", "SNOW Dev Instance").
5. Geben Sie unter Description eine optionale Beschreibung des Provider-Zwecks an.
6. Geben Sie unter Endpoint die URL Ihrer ServiceNow-Instanz ein:
   • Format: https://[instance-name].service-now.com
   • Beispiel: https://dev12345.service-now.com
   • NICHT den API-Pfad einbeziehen — nur die Basis-Instanz-URL
7. Wählen Sie aus dem Drop-down Credential eine vorkonfigurierte ServiceNow-Anmeldeinformation mit:
   • Username: ServiceNow-Benutzerkonto (Web Service Access Only empfohlen)
   • Password: ServiceNow-Benutzerpasswort
   • Erstellen Sie die Anmeldeinformation unter Configuration > Settings > Credentials, bevor Sie den Provider hinzufügen
8. Klicken Sie auf Save.

ServiceNow Endpunkt-Format

Der Endpunkt sollte die Basis-URL Ihrer ServiceNow-Instanz sein:

• Korrekt: https://instance.service-now.com
• Korrekt: https://dev12345.service-now.com
• Falsch: https://instance.service-now.com/api/now/table/incident (API-Pfad nicht einbeziehen)
• Falsch: http://instance.service-now.com (HTTPS verwenden, nicht HTTP)

Hydden Discovery fügt automatisch /api/now/table/incident an den Endpunkt an, wenn Tickets erstellt werden.

ServiceNow-Workflow erstellen

So erstellen Sie einen ServiceNow-Workflow:

1. Navigieren Sie zu Configuration > Automate.
2. Klicken Sie auf der Registerkarte Workflow auf + Add New.
3. Geben Sie unter Name einen beschreibenden Workflow-Namen ein (z. B. "Create Ticket for High-Risk Threats").
4. Geben Sie unter Description eine optionale Beschreibung des Workflow-Zwecks an.
5. Wählen Sie aus dem Drop-down Trigger das Ereignis, das Tickets erstellen soll:
   • Threat Detected: Tickets erstellen, wenn Bedrohungen erkannt werden
   • Collection Failed: Tickets erstellen, wenn Datenquellenerfassungen fehlschlagen
   • Data Validation Failed: Tickets erstellen, wenn die Datenvalidierung fehlschlägt
   • Classification Added: Tickets erstellen, wenn bestimmte Klassifizierungen angewendet werden
   • Weitere verfügbare Trigger (siehe Trigger für die vollständige Liste)
6. Wählen Sie aus dem Drop-down Action Ihren konfigurierten ServiceNow-Provider.
7. Geben Sie unter Short Description einen kurzen Tickettitel an:
   • Unterstützt Vorlagenvariablen (z. B. Threat Detected: {ThreatName})
   • Unter 150 Zeichen empfohlen
   • Dies wird zum ServiceNow Incident-Feld short_description
   • Variablen werden automatisch angezeigt, wenn Sie { im Feld eingeben
8. Geben Sie unter Description detaillierten Ticketinhalt an:
   • Unterstützt Vorlagenvariablen für Ereignisdetails
   • Relevanten Kontext und Abhilfeanleitungen einbeziehen
   • Dies wird zum ServiceNow Incident-Feld description
   • Siehe Trigger für verfügbare Variablen nach Triggertyp
9. (Optional) Konfigurieren Sie Filteroptionen, um den Workflow einzugrenzen (siehe Workflows)
10. Klicken Sie auf Save.
11. Schalten Sie den Workflow-Schalter auf on, um ihn zu aktivieren.

NOTE

Eine Erfassung muss mindestens einmal erfolgreich ausgeführt worden sein, bevor Aktionen ausgelöst werden können.

ServiceNow API-Integration

API-Endpunkt

Hydden Discovery verwendet die ServiceNow Table API zur Erstellung von Incidents:

• Vollständiger Endpunkt: {endpoint}/api/now/table/incident
• HTTP-Methode: POST
• Authentifizierung: HTTP Basic Auth
• Content-Type: application/json
• Accept: application/json

Anfrage-Payload

Hydden Discovery sendet den folgenden JSON-Payload an ServiceNow:

{
  "short_description": "Rendered short description with variables",
  "description": "Rendered description with variables and details"
}

ServiceNow füllt andere Incident-Felder automatisch mit Standardwerten:

• State: New (1)
• Impact: 3 - Low (Standard)
• Urgency: 3 - Low (Standard)
• Priority: 5 - Planning (berechnet aus Impact und Urgency)
• Caller: Der authentifizierte ServiceNow-Benutzer
• Assignment Group: Keine (kann über Business Rules in ServiceNow gesetzt werden)

Authentifizierung

ServiceNow-Workflows verwenden HTTP Basic Authentication:

• Username: Aus konfigurierter Anmeldeinformation
• Password: Aus konfigurierter Anmeldeinformation
• Header: Authorization: Basic <base64(username:password)>

Die Anmeldeinformation wird aus Hydden Discoverys Anmeldeinformations-Vault über die credential_id und den credential_type des Providers abgerufen.

Antwortverarbeitung

• Erfolg: HTTP 200 oder 201 Statuscode zeigt erfolgreiche Incident-Erstellung an
• Fehler: Jeder andere Statuscode wird als Fehler protokolliert
• Keine Wiederholung: ServiceNow-Integration wiederholt fehlgeschlagene Anfragen nicht automatisch (um doppelte Tickets zu vermeiden)

Vorlagenvariablen

ServiceNow-Workflows unterstützen alle Vorlagenvariablen, die für den ausgewählten Triggertyp verfügbar sind. Verwenden Sie die Syntax {VariableName}, um dynamische Ereignisdaten einzubeziehen.

Beispielvorlagen

Bedrohungserkennungs-Ticket:

Short Description: SECURITY ALERT: {ThreatName} detected on {Platform}
Description:
Threat Name: {ThreatName}
Threat ID: {ThreatID}
Platform: {Platform}
Affected Accounts: {Accounts}
Risk Score: {Score}
Site: {Site}
Detection Time: {JobTime}

Action Required:
1. Review affected accounts: {Names}
2. Investigate threat details in Hydden Discovery
3. Remediate identified risks
4. Update ticket status when resolved

Erfassungsfehler-Ticket:

Short Description: DATA COLLECTION FAILED: {JobName} on {Platform}
Description:
Collection Job: {JobName}
Platform: {Platform}
Site: {Site}
Error Message: {JobError}
Job ID: {JobID}
Last Successful Run: {LastRun}

Action Required:
1. Review error message and identify root cause
2. Verify data source credentials and connectivity
3. Retry collection after resolving issue
4. Monitor for successful completion

Datenvalidierungsfehler-Ticket:

Short Description: DATA QUALITY ISSUE: {JobName} validation failed
Description:
Validation Job: {JobName}
Platform: {Platform}
Site: {Site}
Error: {JobError}
Job ID: {JobID}

Action Required:
1. Review data quality error details
2. Check data source configuration
3. Validate data schema requirements
4. Re-run validation after corrections

Siehe Trigger für vollständige Variablenlisten nach Triggertyp.

ServiceNow Konfigurations-Best-Practices

ServiceNow-Benutzerkonfiguration

1. Dedizierten Integrationsbenutzer erstellen:

   • Benutzername: hydden_integration oder ähnlich
   • Als "Web Service Access Only" markieren
   • Rolle itil zuweisen (oder gleichwertige Berechtigungen für Incident-Erstellung)
   • Starkes, einzigartiges Passwort verwenden

2. Servicekonto-Sicherheit:

   • Anmeldeinformationen im Hydden Discovery Credential Vault speichern
   • Passwörter regelmäßig rotieren
   • Benutzeraktivität in ServiceNow-Auditprotokollen überwachen
   • Benutzerberechtigungen auf das erforderliche Minimum beschränken (nur Incident-Erstellung)

ServiceNow Business Rules

ServiceNow Business Rules konfigurieren, um die Ticketerstellung zu verbessern:

1. Automatische Zuweisung: Tickets automatisch den entsprechenden Gruppen zuweisen basierend auf:

   • Schlüsselwörtern in der Kurzbeschreibung (z. B. "SECURITY ALERT" -> Security Operations)
   • Benutzerdefinierten Feldern, die von Hydden ausgefüllt werden
   • Dringlichkeits- und Auswirkungsberechnungen

2. Prioritätsberechnung: Priorität anpassen basierend auf:

   • Bedrohungs-Risikobewertungen von Hydden
   • Plattformkritikalität
   • Geschäftliche Auswirkung

3. Benachrichtigung: Benachrichtigungen senden an:

   • Zugewiesene Gruppen
   • Manager
   • Security Operations Center (SOC)

4. Benutzerdefinierte Felder: Benutzerdefinierte Felder befüllen mit:

   • Hydden Bedrohungs-IDs
   • Plattformkennungen
   • Risikobewertungen
   • Direktlinks zurück zu Hydden Discovery

ServiceNow Incident-Vorlage

Erwägen Sie, eine benutzerdefinierte Incident-Vorlage in ServiceNow für Hydden Discovery Tickets zu erstellen:

• Category: Security / Data Management
• Subcategory: Threat Detection / Collection Issue
• Configuration Item: Verknüpfung mit relevantem CI in der CMDB
• Benutzerdefinierte Felder: Felder für Hydden-spezifische Daten hinzufügen (Bedrohungs-ID, Risikobewertung usw.)

Häufige Anwendungsfälle

Sicherheitsbetrieb

Tickets für Hochrisiko-Bedrohungen:

Name: Create Ticket for Critical Threats
Trigger: Threat Detected
Filter: threatid: critical-threats
Action: ServiceNow Production
Short Description: CRITICAL THREAT: {ThreatName} on {Platform}
Description: [Detaillierte Bedrohungsinformationen mit Abhilfeschritten]

Bedrohungsauflösung verfolgen:

Name: Update Ticket on Threat Resolution
Trigger: Threat Resolved
Action: ServiceNow Production (with custom integration to update existing ticket)

Betriebsüberwachung

Erfassungsfehler-Alarme:

Name: Collection Failure Ticket
Trigger: Collection Failed
Action: ServiceNow Production
Short Description: Collection Failed: {JobName} on {Platform}
Description: [Fehlerdetails und Fehlerbehebungsschritte]

Datenqualitätsprobleme:

Name: Data Validation Failure Ticket
Trigger: Data Validation Failed
Action: ServiceNow Production
Short Description: Data Quality Issue: {JobName}
Description: [Validierungsfehlerdetails]

Compliance und Audit

Entdeckung privilegierter Konten:

Name: New Privileged Account Alert
Trigger: Classification Added
Filter: classificationid: privileged-account
Action: ServiceNow Production
Short Description: New Privileged Account Discovered: {Name}
Description: [Kontodetails und Compliance-Überprüfungsanforderungen]

Fehlerbehebung

Problem	Lösung
Tickets nicht erstellt	Überprüfen, ob Workflow aktiviert ist, ServiceNow-Provider-Konfiguration prüfen, Anmeldeinformationen auf Gültigkeit bestätigen
Authentifizierungsfehler	ServiceNow-Benutzername und -Passwort überprüfen, Benutzer auf "Web Service Access Only" prüfen, bestätigen, dass Benutzer die Rolle itil hat
403 Forbidden-Fehler	ServiceNow-Benutzer auf Incident-Erstellungsberechtigungen prüfen, ACL-Regeln in ServiceNow überprüfen
404 Not Found-Fehler	Endpunkt-URL auf Korrektheit prüfen (Basis-Instanz-URL, nicht vollständiger API-Pfad), ServiceNow-Instanz auf Erreichbarkeit prüfen
Verbindungs-Timeout	Netzwerkkonnektivität zur ServiceNow-Instanz prüfen, Firewall-Regeln überprüfen, Endpunkt-URL auf HTTPS-Verwendung bestätigen
Doppelte Tickets	ServiceNow-Workflows haben keine integrierte Deduplizierung — Business Rules in ServiceNow implementieren, um Duplikate zu vermeiden
Variablen werden nicht ersetzt	Variablennamen auf Übereinstimmung mit Triggertyp prüfen (siehe Trigger), Syntax auf {Variable}-Format prüfen
Falsche Incident-Felder	ServiceNow verwendet Standardwerte für nicht im Payload angegebene Felder — Business Rules konfigurieren, um zusätzliche Felder zu befüllen

Erweiterte Integration

Vorhandene Tickets aktualisieren

So aktualisieren Sie vorhandene ServiceNow-Tickets, anstatt neue zu erstellen:

1. Benutzerdefinierte Webhook-Integration anstelle des ServiceNow-Providers konfigurieren
2. ServiceNow Table API verwenden, um nach vorhandenen Tickets zu suchen
3. Tickets mit der PATCH-Methode an /api/now/table/incident/{sys_id} aktualisieren
4. Logik einbeziehen, um Hydden-Ereignisse mit ServiceNow-Ticketnummern abzugleichen

Benutzerdefinierte Feldbefüllung

So befüllen Sie benutzerdefinierte Felder in ServiceNow-Incidents:

1. ServiceNow-Incident-Tabelle um benutzerdefinierte Felder erweitern
2. ServiceNow Business Rules verwenden, um Daten aus dem Beschreibungsfeld zu extrahieren
3. Strukturierte Daten aus Hydden-Ticketbeschreibungen parsen
4. Benutzerdefinierte Felder basierend auf extrahierten Daten befüllen

Alternativ Webhook-Integration für volle Kontrolle über die Payload-Struktur verwenden.

CMDB-Integration

Hydden Discovery Tickets mit ServiceNow CMDB verknüpfen:

1. Hydden-Plattformen/-Systeme auf ServiceNow Configuration Items (CIs) abbilden
2. CI sys_id in die Ticketbeschreibung einbeziehen oder Business Rules verwenden
3. Incidents automatisch mit betroffenen CIs verknüpfen
4. Auswirkungsanalyse basierend auf CI-Beziehungen aktivieren

Verwandte Themen

• Übersicht - Automatisierungsarchitektur und -konzepte
• Workflows - Workflows erstellen und verwalten
• Trigger - Verfügbare Triggertypen und Variablen
• Provider - E-Mail-Provider konfigurieren
• Webhooks verwenden - Webhook-Integration (Alternative zum ServiceNow-Provider für erweiterte Szenarien)
• Add to Vault - PAM-Integration für Auto-Vaulting
• Anmeldeinformationen - Anmeldeinformationen für Provider verwalten
• Bedrohungserkennungsregeln - Bedrohungserkennung konfigurieren