メインコンテンツまでスキップ
Sumo Logic Japanese

ServiceNow インシデントの Webhook 接続のセットアップ

このページでは、ServiceNow インシデントの Webhook 接続をセットアップし、接続の Scheduled Search を作成する方法について説明します。

WebHook と ServiceNow インシデントについて

Webhook とは HTTP コールバックであり、何かが発生したときに実行される HTTP POST です。  Webhook 接続により、Webhook を受け付けるサードパーティ アプリケーションに Sumo Logic のアラートを送信することができます。

インシデントとは、お客様の業務で計画外に発生した障害です。これは ITSM インシデントを通じて ServiceNow でレポートされます。

セキュリティ インシデントとは、お客様の業務で計画外に発生したセキュリティ関連の障害です。これはセキュリティ インシデントを通じて ServiceNow で報告されます。

ServiceNow 用の Webhook 接続のセットアップ

ServiceNow インシデントの Webhook 接続をセットアップする手順

  1. [Manage Data (データの管理)] > [Settings (設定)] > [Connections (接続)] に移動します。
  2. [Connections (接続)] ページで、[Add (追加)] をクリックします。
  3. [WebHook] をクリックします。
  4. [Create Connection (接続の作成)] ダイアログに、接続の名前を入力します。
  5. (省略可能) 接続の説明を入力します。
  6. ITSM インシデントとセキュリティ インシデントのどちらを作成するかに基づいて、次のいずれかを入力します。 
  • ServiceNow ITSM インシデントを作成する場合は、ServiceNow インシデント エンドポイントの URL を入力します。 

https://<your-instance>.service-now.com/api/now/table/incident 

https://<your-instance>.service-now.com/api/now/table/sn_si_incident_import 

  1. [Authorization Header (認証ヘッダー)] を入力します。詳細については、Webhook 接続の「認証ヘッダーの例」のヘルプページを参照してください。
  2. [Payload (ペイロード)] にはインシデント JSON オブジェクトを入力します。JSON の例を次に示します。
  • セキュリティ インシデント:
{
"short_description": "Sumo Logic - Search fired",
"caller": "admin",
"comments": "Total number of records returned: {{NumRawResults}}"
} 
  • ITSM インシデント:
{
"short_description": "Sumo Logic - Search fired",
"caller_id": "admin",
"comments": "Total number of records returned: {{NumRawResults}}"
}

ペイロードで送信できるフィールドの一覧は、「Webhook ペイロードの変数」セクションを参照してください。

serviceNow webhook configuration.png

  1. [Save (保存)] をクリックします。
  2. 接続を設定したら、続けて接続のテストを行い、その後にこの接続にアラートを送信するために Scheduled Search を作成します。

接続のテスト

接続を設定した後で、[Test Connection (接続のテスト)] をクリックします。接続が確立されると、「201 OK」応答メッセージが表示されます。

接続に成功すると、ServiceNow で作成されているセキュリティ インシデントが表示されます。このメッセージには Scheduled Search の情報は一切含まれず、単にペイロードのテキストが含まれます。

ServiceNow セキュリティ テーブルと ITSM インシデント インポート テーブルのフィールド

利用可能なフィールドを判断し、ServiceNow ITSM インシデントと ServiceNow セキュリティ インシデントのサンプル ペイロードを生成するには、ServiceNow ドキュメントを参照してください。

ペイロードに問題がなければ、Webhook 接続の Sumo Logic ペイロード フィールドにペイロードをコピーします。

Webhook ペイロードの変数

必要に応じて、各 Scheduled Search の [Payload (ペイロード)] をカスタマイズできます。デフォルトのペイロードを使用する場合は、そのままにします。

詳細については、「Webhook 接続のセットアップ」ページの「WebHook ペイロードの変数」を参照してください。 

ServiceNow インシデントのペイロードの例

short_description、comments、caller_id を含むペイロード:
{
"short_description": "Sumo Logic - Search fired",
"caller": "admin",
"comments": "The search Top Hosts has been Fired"
}
変数を含む Scheduled Search のペイロード:
{
"short_description": "Sumo Logic - Search fired",
"caller": "admin",
"comments": "Total number of records returned: {{NumRawResults}}",
"severity": "3",
"category": "Inquiry"
}  
追加のフィールドを含むペイロード:
{
"correlation_display":"SumoLogic",
"correlation_id":"{{FireTime}}",
"external_url": "{{SearchQueryUrl}}",
"severity": "3",
"short_description": "Sumo Logic - {{SearchName}} fired at {{FireTime}}",
"category": "Unauthorized access",
"subcategory": "Unauthorized login attempts",
"cmdb_ci": "ebc85e764fa0830068fe7bb28110c7c5",
"description": "{{AggregateResultsJson}}",
"affected_user": "admin",
"caller": "admin",
"assignment_group": "dea26263ff0331007a6dffffffffff19",
"vendor_reference": "Sumo Logic",
"work_notes": "{{RawResultsJson}}",
"assigned_vendor": "Okta",
"business_service": "Single Sign-On",
"contact_type": "SIEM",
"comments": "{{TimeRange}} for {{SearchDescription}}",
"source_ip": "1.1.1.10"
}

インシデントのドメイン セパレーション (ITSM インシデントとセキュリティ インシデントの両方に対応) 

ServiceNow のドメイン セパレーションを使用すれば、データ、プロセス、管理タスクを論理的に定義されたドメインに分離することができます。ITSM インシデントまたはセキュリティ インシデントを Webhook ペイロードの一部として適切なドメインに送信するには、ペイロードの一部として “company” を送信し、これをお客様の company sysid (32 ビット GUID) に設定することで、インシデントが適切な ServiceNow ドメインに挿入されるようにします。また、次を確認する必要があります。

  1. こちらに記載されているように、インポート セットに対してビジネス ルールが実行されている。 

  2. こちらに記載されているように、会社名が存在しない場合は、インポート マップの company フィールドが reject に設定されている。 

  • この記事は役に立ちましたか?