はじめに
Microsoft Copilot for Security では 3rd パーティーの製品と接続するためのプラグインが準備されています。今回は ServiceNow プラグインを検証してみます。
接続設定
ServiceNow 側
Oauth で検索し、[Application Registry] を選択します。
[New] をクリックします。
[Create an OAuth API endpoint for external clients] をクリックします。
任意の名前を入力します。また、Redirect URL に https://securitycopilot.microsoft.com/auth/v1/callback を入力して [Submit] をクリックします。
Copilot for Security 側
[ソース] アイコンをクリックします。
Copilot for Security Plugin for ServiceNow (Preview) の [セットアップ] をクリックします。
以下のように入力します。
| 設定項目 | 値 |
|---|---|
| Default Incident Type | INC ※ Must be one of: Inc, SIR と入力欄に記載あり |
| ServiceNow URL or Name | https://instancename.service-now.com/ |
| ClientId | 先ほど作成した ServiceNow の ClientId |
| ClientSecret | 先ほど作成した ServiceNow の ClientSecret |
| AuthorizationEndpoint | http://instancename.service-now.com/oauth_auth.do |
| TokenEndpoint | http://instancename.service-now.com/oauth_token.do |
ServiceNow ログイン画面が開き、管理者でログインすると以下の同意画面が開くので Allow をクリックします。 (おそらくログインした管理者の権限で認可しているものと思われるが詳細未確認)
設定が完了して以下のように有効化されれば OK です。
プロンプト実行
使える機能は現時点で以下のようです。
まずはサマリを指示してみます。こちらは動いたもののインシデントの記載内容が著作権で保護される可能性のあるコンテンツであるとのことで失敗しました。 (Developer のインスタンスに入っているインシデントそのままなのですが)
今度はインシデント ID を指定して実行します。こちらは応答ありました。
再オープンを指示します。直接的に再オープンはできないものの、コメントを追記することはできました。
状態 (State or Status) を指定してインシデントを取得しようとしましたが、フィルタ条件が適切に効いていないのか、存在しないという応答になりました。(実際に ServiceNow 側でフィルタした場合には数件存在する)
まとめ
実際に ServiceNow との連携は確認できたものの、簡単な指示のみでは Defender XDR のインシデントを取得するようにはいかず、プロンプトを様々検証して意図した通り動作するようにブラッシュアップしていく必要がありそうです。このあたり、うまくいくプロンプト例が作成できれば、随時アップデートしていきます。
Discussion