將 ServiceNow 與 Google SecOps 整合
本文說明如何將 ServiceNow 與 Google Security Operations (Google SecOps) 整合。
整合版本:53.0
用途
將 ServiceNow 與 Google SecOps SOAR 整合,有助於解決下列用途:
自動建立事件單及擴充資訊:使用 Google SecOps 功能,從 SIEM 或其他安全工具觸發的安全快訊,自動建立 ServiceNow 事件單。您可以減少手動開立單據,並從觸發警報中擷取相關資訊,豐富事件內容,進而簡化事件應變工作流程。
網路釣魚調查與補救:使用 Google SecOps 功能自動執行網路釣魚調查步驟,例如收集電子郵件標題、調查附件,以及在貴機構中搜尋類似的電子郵件。自動處理重複性工作可加快網路釣魚回應速度,並減少資安分析師團隊的工作量。
漏洞管理和修復:您可以根據漏洞掃描結果,自動建立 ServiceNow 變更要求,以修補或減輕漏洞影響,進而自動化漏洞修復工作流程。
使用者加入和離職:您可以根據 ServiceNow 工作流程,在各種系統 (包括存取控制系統、電子郵件平台和應用程式) 中,自動執行使用者帳戶佈建和取消佈建工作。
威脅情報擴充功能:使用 Google SecOps 功能,透過 ServiceNow 平台中的威脅情報資料擴充安全警示,提供更多背景資訊並排定應變措施的優先順序。
事前準備
在 Google SecOps 中設定整合功能前,請先在 ServiceNow 中設定使用者存取權。
部分動作和工作需要您為整合中使用的使用者指派其他 ServiceNow 角色。如要進一步瞭解必要角色,請參閱「設定角色和最低權限」。
在 ServiceNow 中設定使用者存取權
ServiceNow 會使用 sys_journal_field 資料表與 Google SecOps 同步。根據預設,只有 ServiceNow 管理員使用者可以存取 sys_journal_field 表格。如要進一步瞭解 ServiceNow 角色,請參閱基本系統角色。
如要在 ServiceNow 中存取 sys_journal_field 表格,並啟用 OAuth 2.0 驗證,您必須為使用者設定適當的存取權限。
如要在 ServiceNow 中設定使用者存取權,請完成下列步驟:
建立新角色,並新增至整合服務中使用的使用者帳戶。
建立新的 ACL 規則。如要建立新的 ACL,請提升管理員權限角色。如要進一步瞭解 ServiceNow 中的高權限角色,請參閱「高權限角色」。
建立新角色
如要在 ServiceNow 中建立新角色,請完成下列步驟:
以管理員身分登入 ServiceNow。
依序前往「All」(全部) >「User Administration」(使用者管理) >「Roles」(角色)。
按一下「新增」並填寫表單。
輸入
secops_user做為角色名稱。按一下「提交」。
建立新的 ACL 規則
為確保服務帳戶可以從 sys_journal_field 表格讀取資料,且不需要管理員權限,請完成下列步驟來建立新的 ACL:
以管理員身分登入 ServiceNow,並將角色權限提升至
security_admin角色。依序前往「All」(全部) >「System Security」(系統安全性) >「Access Control (ACL)」(存取控管 (ACL)) >「New」(新增)。
請使用下列資訊設定 ACL 規則:
類型:
record作業:
read名稱:
sys_journal_field必要角色:
secops_user(這是上一個步驟建立的自訂角色)。
填寫完畢後,請按一下「提交」。
前往並開啟新建立的 ACL 規則。
如要完成變更,請按一下表單標題,然後按一下「更新」。
為使用者指派新角色
如要將建立的角色指派給整合服務所用的使用者帳戶,請完成下列步驟:
在 ServiceNow 中,依序前往「All」(全部) >「User Administration」(使用者管理) >「Users」(使用者)。
選取整合服務中使用的使用者。
依序前往「角色」>「編輯」。
選取
secops_user角色,然後按一下「新增」。按一下 [儲存]。
設定角色和最低權限
如要執行下列活動,您必須授予在整合中使用的 ServiceNow 使用者帳戶權限:
- 存取 sys_journal_field 表格 (「新增註解並等待回覆」動作的必要條件)。
- 建立、撰寫及修改必要資料表 (建立記錄、更新記錄和等待欄位更新動作需要此步驟)。
- 更新事件 (「Close Incident」和「Update Incident」動作皆須更新事件)。
如要設定執行特定動作所需的角色,請參閱下表:
| 動作 | 必要角色 |
|---|---|
| List Record Comments | 具備 如要將 |
如要進一步瞭解 ServiceNow 中的 |
|
如要進一步瞭解 ServiceNow 中的 |
如要將角色指派給整合服務中使用的使用者帳戶,請完成下列步驟:
在 ServiceNow 中,依序前往「All」(全部) >「User Administration」(使用者管理) >「Users」(使用者)。
選取整合服務中使用的使用者。
依序前往「角色」>「編輯」。
選取角色,然後按一下「新增」。
按一下 [儲存]。
啟用 OAuth 2.0 驗證
如要為整合功能啟用 OAuth 2.0,請將 ServiceNow 執行個體升級至 Washington DC 版本。
如要使用 OAuth 2.0 進行驗證,請在整合參數中設定用戶端憑證 (Client ID、Client Secret 和 Use Oauth Authentication 參數)。
如果您同時設定 Refresh Token 參數和 Client ID 與 Client Secret 參數,整合服務會使用重新整理權杖進行驗證。
如要為整合服務啟用 OAuth 2.0 驗證,請完成下列步驟:
在 ServiceNow 中設定 OAuth 2.0
如要在 ServiceNow 中設定 OAuth 2.0,請完成下列步驟:
在 ServiceNow 中,依序前往「System Definition」(系統定義) >「Plugins」(外掛程式)。
啟用 OAuth 2.0 外掛程式。
將 com.snc.platform.security.oauth.is.active 系統屬性設為
True。依序前往「System OAuth」>「Application Registry」。
按一下「新增」,然後選取「為外部用戶端建立 OAuth API 端點」。
儲存 client_id 和 client_secret 值,以用於整合。
設定初始整合參數
如要設定初始整合參數,請完成下列步驟:
在 Google SecOps 中,依序前往「應變」>「整合」>「設定」。
選用:選取環境。
在「搜尋」欄位中輸入
ServiceNow。按一下「設定」「設定執行個體」。
設定「使用者名稱」、「密碼」、「用戶端 ID」和「用戶端密鑰」整合參數。
按一下 [儲存]。
選用:產生及設定重新整理權杖
如要產生重新整理權杖,請完成下列步驟:
-
如果 Google SecOps 執行個體是新建立的,且沒有現有案件,請模擬案件。
如果已有案件,請繼續下一個步驟。
選用:模擬案件
如要在 Google SecOps 中模擬案件,請按照下列步驟操作:
在側邊導覽中,選取「案件」。
在「案件」頁面中,依序點按「新增」「新增」>「模擬案件」。
選取任一預設案例,然後按一下「建立」。無論選擇模擬哪個案例都沒關係。
按一下「模擬」。
如果您有預設以外的環境,且想使用該環境,請選取正確的環境,然後按一下「模擬」。
在「案件」分頁中,按一下「重新整理」。模擬的案件會顯示在案件清單中。
執行「Get Oauth Token」動作
使用您模擬的 Google SecOps 案件,手動執行「Get Oauth Token」動作。
如要執行「Get Oauth Token」(取得 OAuth 權杖) 動作,請完成下列步驟:
在「案件」分頁中,選取模擬案件。
在「案件檢視畫面」中,按一下「手動動作」。
在手動動作「Search」(搜尋) 欄位中,輸入
ServiceNow。在 ServiceNow 整合下方的結果中,選取「取得 OAuth 權杖」。
按一下 [Execute] (執行)。
執行動作後,請前往模擬案件的案件總覽。在「ServiceNow_Get Oauth Token」動作記錄中,按一下「查看更多」。
在「JSON 結果」部分,複製「refresh_token」值。
設定整合的更新權杖
如要設定整合的重新整理權杖,請完成下列步驟:
在 Google SecOps 中,依序前往「應變」>「整合」>「設定」。
從整合清單中選取「ServiceNow」ServiceNow。
按一下「設定」「設定執行個體」。
在「Refresh Token」欄位中,貼上您從上一節 JSON 結果複製的 refresh_token 值。
刪除「Username」和「Password」參數值。
選取「使用 OAuth 驗證」。
按一下 [儲存]。
按一下「Test」。
整合參數
ServiceNow 整合需要下列參數:
| 參數 | 說明 |
|---|---|
Api Root |
必填。 ServiceNow 執行個體的 API 根層級。 預設值為 |
Username |
必填。 ServiceNow 帳戶的使用者名稱。 |
Password |
必填。 ServiceNow 帳戶的密碼。 |
Incident Table |
選填。 用於事件相關動作的路徑。 根據預設,整合功能會使用 |
Verify SSL |
選填。 選取後,整合服務會在連線至 ServiceNow 時驗證 SSL 憑證。 (預設為啟用)。 |
Run Remotely |
選填。 如果選取這個選項,整合作業就會遠端執行。 選取這個參數後,請選取遠端使用者 (服務專員)。 預設為未選取。 |
Client ID |
選填。 ServiceNow 整合的用戶端 ID。 OAuth 2.0 需要這個參數,才能使用用戶端憑證進行驗證。 您可以使用更新權杖或用戶端憑證進行驗證。如果您設定更新權杖和用戶端憑證,整合服務會使用更新權杖進行驗證。 |
Client Secret |
選填。 ServiceNow 整合的用戶端密鑰。 OAuth 2.0 需要這個參數,才能使用用戶端憑證進行驗證。 您可以使用更新權杖或用戶端憑證進行驗證。如果您設定更新權杖和用戶端憑證,整合服務會使用更新權杖進行驗證。 |
Refresh Token |
選填。 ServiceNow 整合服務的更新權杖。 OAuth 2.0 驗證需要這個參數,才能使用更新權杖進行驗證。 設定的更新權杖每 90 天就會過期。 您可以使用更新權杖或用戶端憑證進行驗證。 如果您設定更新權杖和用戶端憑證,整合服務會使用更新權杖進行驗證。 |
Use Oauth Authentication |
選填。 如果選取這個選項,整合服務會使用 OAuth 2.0 進行驗證。 OAuth 2.0 需要設定用戶端憑證 ( |
如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。
如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。
動作
如要瞭解執行特定動作所需的其他角色,請參閱「設定角色和最低權限」。
新增附件
使用「Add Attachment」(新增附件) 動作,將附件新增至 ServiceNow 的資料表記錄。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「新增附件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Mode |
選填。 動作模式。 可能的值如下:
如果選取 如果選取 |
Table Name |
必填。 包含要新增附件之記錄的資料表名稱。 |
Record Sys ID |
必填。 要新增附件的記錄 |
File Path |
必填。 以半形逗號分隔的附件檔案絕對路徑清單。 |
動作輸出內容
「新增附件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「新增附件」動作時收到的 JSON 結果輸出內容:
{
"result": {
"size_bytes": "742",
"file_name": "Example.txt",
"sys_mod_count": "0",
"average_image_color": "",
"image_width": "",
"sys_updated_on": "2020-08-16 11:43:39",
"sys_tags": "",
"table_name": "incident",
"sys_id": "2a5d8423db2210104c187b60399619b2",
"image_height": "",
"sys_updated_by": "admin",
"download_link": "https://example.service-now.com/api/now/attachment/2a5d8423db2210104c187b60399619b2/file",
"content_type": "multipart/form-data",
"sys_created_on": "2020-08-16 11:43:39",
"size_compressed": "438",
"compressed": "true",
"state": "pending",
"table_sys_id": "9d385017c611228701d22104cc95c371",
"chunk_size_bytes": "700000",
"hash": "d2acb9fe341654816e00d44bcdaf88ef0733a2838449bba870142626b94871fc",
"sys_created_by": "admin"
}
}
輸出訊息
「新增附件」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Add Attachment". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「新增附件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
新增註解
使用「新增註解」動作,在 ServiceNow 事件中新增註解。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「新增留言」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Comment |
必填。 要新增至事件的註解。 |
動作輸出內容
「新增註解」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「新增註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
新增註解並等待回覆
使用「新增註解並等待回覆」動作,等待在事件中新增註解。動作結果是新留言的內容。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「新增留言並等待回覆」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Comment |
必填。 要新增至事件的註解。 |
動作輸出內容
「新增留言並等待回覆」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「新增留言並等待回覆」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
new_comment |
不適用 |
為記錄新增註解
使用「Add Comment To Record」(在記錄中新增註解) 動作,在 ServiceNow 的特定表格記錄中新增註解。
如果選取 Wait For Reply 參數,這項動作會以非同步方式運作。
如果是非同步模式,請視需要調整 Google SecOps IDE 中動作的指令碼逾時值。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「Add Comment To Record」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要新增註解或附註的資料表名稱,例如 |
Type |
必填。 要新增的註解或附註類型。 可能的值如下:
預設值為 |
Record Sys ID |
必填。 要新增留言或工作附註的記錄 ID。 |
Text |
必填。 留言或工作附註的內容。 |
Wait For Reply |
必填。 如果選取這個選項,動作會等待回覆。 如果您新增留言,這項動作會追蹤留言;如果您新增工作附註,這項動作會追蹤工作附註。 |
動作輸出內容
「Add Comment To Record」(為記錄新增註解) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Add Comment To Record」動作時收到的 JSON 結果輸出內容:
{
"sys_id": "4355183607523010ff23f6fd7c1ed0a8",
"sys_created_on": "2021-09-03 10:29:48",
"name": "incident",
"element_id": "552c48888c033300964f4932b03eb092",
"sys_tags": "",
"value": "test",
"sys_created_by": "admin",
"element": "comments"
}
輸出訊息
「Add Comment To Record」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully added
COMMENT_OR_NOTE "
CONTENT" to TABLE_NAME
with Sys_ID SYS_ID in ServiceNow.
|
動作成功。 |
Error executing action "Add Comment To Record". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Add Comment To Record」(在記錄中新增註解) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
新增上層事件
使用「新增上層事件」動作,為 ServiceNow 中的事件新增上層事件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「新增父項事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Parent Incident Number |
必填。 父項事件編號。 這項動作會將 如要設定這項參數,請使用下列事件格式: |
Child Incident Numbers |
必填。 以半形逗號分隔的事件相關號碼清單,做為上層事件的子項。 如要設定這項參數,請使用下列事件格式:
|
動作輸出內容
「新增父項事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「新增父項事件」動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"parent": "",
"made_sla": "true",
"caused_by": "",
"watch_list": "",
"upon_reject": "cancel",
"sys_updated_on": "2020-10-20 07:19:11",
"child_incidents": "0",
"hold_reason": "",
"approval_history": "",
"skills": "",
"number": "INC0010009",
"resolved_by": "",
"sys_updated_by": "admin",
"opened_by": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"user_input": "",
"sys_created_on": "2020-10-20 07:19:11",
"sys_domain": {
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"state": "1",
"sys_created_by": "admin",
"knowledge": "false",
"order": "",
"calendar_stc": "",
"closed_at": "",
"cmdb_ci": "",
"delivery_plan": "",
"contract": "",
"impact": "3",
"active": "true",
"work_notes_list": "",
"business_service": "",
"priority": "5",
"sys_domain_path": "/",
"rfc": "",
"time_worked": "",
"expected_start": "",
"opened_at": "2020-10-20 07:18:56",
"business_duration": "",
"group_list": "",
"work_end": "",
"caller_id": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"reopened_time": "",
"resolved_at": "",
"approval_set": "",
"subcategory": "",
"work_notes": "",
"short_description": "Assessment : Assessor",
"close_code": "",
"correlation_display": "",
"delivery_task": "",
"work_start": "",
"assignment_group": "",
"additional_assignee_list": "",
"business_stc": "",
"description": "",
"calendar_duration": "",
"close_notes": "",
"notify": "1",
"service_offering": "",
"sys_class_name": "incident",
"closed_by": "",
"follow_up": "",
"parent_incident": {
"link": "https://example.service-now.com/api/now/table/incident/ID",
"value": "ID"
},
"sys_id": "2a100a1c2fc42010c518532a2799b621",
"contact_type": "",
"reopened_by": "",
"incident_state": "1",
"urgency": "3",
"problem_id": "",
"company": "",
"reassignment_count": "0",
"activity_due": "",
"assigned_to": "",
"severity": "3",
"comments": "",
"approval": "not requested",
"sla_due": "",
"comments_and_work_notes": "",
"due_date": "",
"sys_mod_count": "0",
"reopen_count": "0",
"sys_tags": "",
"escalation": "0",
"upon_approval": "proceed",
"correlation_id": "",
"location": "",
"category": "inquiry"
}
]
}
輸出訊息
「Add Parent Incident」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully set
PARENT_INCIDENT_NUMBER as the
"Parent Incident" for the following incidents in ServiceNow:
CHILD_INCIDENT_NUMBERS. |
動作成功。 |
|
動作失敗。 檢查拼字。 |
Error executing action "Add Parent Incident".
Reason: ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
關閉事件
使用「Close Incident」(關閉事件) 動作關閉 ServiceNow 事件。
這項操作會對所有 Google SecOps 實體執行。
如要執行這項操作,您必須在 ServiceNow 中將 sn_incident_write 角色指派給使用者。詳情請參閱「設定角色和最低權限」。
動作輸入內容
「Close Incident」(結案事件) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Close Reason |
必填。 關閉事件的原因。 |
動作輸出內容
「Close Incident」(結案事件) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Close Incident」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
建立快訊事件
使用「建立快訊事件」動作,建立與 Google SecOps 快訊相關的事件。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「建立快訊事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Impact |
必填。 事件的影響程度。 可能的值如下:
1。 |
Urgency |
必填。 事件的緊急程度。 可能的值如下
1。 |
Category |
選填。 事件類別。 |
Assignment Group ID |
選填。 要指派事件的群組完整名稱。 |
Assigned User ID |
選填。 要指派事件的使用者全名。 |
Description |
選填。 事件說明。 |
動作輸出內容
「建立快訊事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「建立快訊事件」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": " ",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010005",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "0",
"notify": "1",
"resolved_by": " ",
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": " ",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "1",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by":
"admin", "caused_by": " ",
"comments": " ",
"closed_by": " ",
"priority": "1",
"state": "1",
"sys_id": "ID",
"opened_at": "2020-07-10 05:13:25",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": "4187b92c-7aaa-40ec-a032-833dd5a854e6",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": " ",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": " ",
"business_duration": " ",
"problem_id": " ",
"sys_updated_on": "2020-07-10 05:13:25",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": " ",
"caller_id": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"active": "true",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": "2020-07-10 07:13:25",
"severity": "3",
"incident_state": "1",
"resolved_at": " ",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 05:13:25",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": " ",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "1",
"reopen_count": "0"
}
指令碼結果
下表列出使用「建立快訊事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
建立事件
使用「建立事件」動作,在 ServiceNow 系統中建立新事件。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「建立事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Short Description |
必填。 事件的簡短說明。 |
Impact |
必填。 事件的影響程度。 可能的值如下:
1。 |
Urgency |
必填。 事件的緊急程度。 可能的值如下
1。 |
Category |
選填。 事件類別。 |
Assignment Group ID |
選填。 要指派事件的群組完整名稱。 |
Assigned User ID |
選填。 要指派事件的使用者全名。 |
Description |
選填。 事件說明。 |
Custom Fields |
選填。 以半形逗號分隔的欄位和值清單。 如要設定這個參數,請輸入下列格式的值:
|
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「建立事件」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": " ",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010005",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "0",
"notify": "1",
"resolved_by": " ",
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": " ",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "1",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by":
"admin", "caused_by": " ",
"comments": " ",
"closed_by": " ",
"priority": "1",
"state": "1",
"sys_id": "ID",
"opened_at": "2020-07-10 05:13:25",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": "4187b92c-7aaa-40ec-a032-833dd5a854e6",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": " ",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": " ",
"business_duration": " ",
"problem_id": " ",
"sys_updated_on": "2020-07-10 05:13:25",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": " ",
"caller_id": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"active": "true",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": "2020-07-10 07:13:25",
"severity": "3",
"incident_state": "1",
"resolved_at": " ",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 05:13:25",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": " ",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "1",
"reopen_count": "0"
}
指令碼結果
下表列出使用「建立事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
incident_number |
INCIDENT_NUMBER |
建立記錄
使用「建立記錄」動作,在不同的 ServiceNow 資料表中建立新記錄。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「建立記錄」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
選填。 用於建立記錄的資料表。 |
Object JSON Data |
選填。 建立記錄所需的 JSON 資料。 |
動作輸出內容
「建立記錄」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「建立記錄」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": " ",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010021",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "0",
"notify": "1",
"resolved_by": " ",
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": " ",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "3",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by": "admin",
"caused_by": " ",
"comments": " ",
"closed_by": " ",
"priority": "5",
"state": "1",
"sys_id": "ID",
"opened_at": "2020-07-10 08:24:34",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": " ",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": " ",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": " ",
"business_duration": " ",
"problem_id": " ",
"sys_updated_on": "2020-07-10 08:24:34",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": " ",
"caller_id": " ",
"active": "true",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": " ",
"severity": "3",
"incident_state": "1",
"resolved_at": " ",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 08:24:34",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": " ",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "3",
"reopen_count": "0"
}
指令碼結果
下表列出使用「建立記錄」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
object_sys_id |
OBJECT_SYS_ID |
下載附件
使用「Download Attachments」(下載附件) 動作,下載與 ServiceNow 中表格記錄相關的附件。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「下載附件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 包含要下載附件的記錄的資料表名稱,例如 |
Record Sys ID |
必填。 要從中下載附件的記錄系統 ID。 |
Download Folder Path |
必填。 儲存已下載附件的絕對資料夾路徑。 |
動作輸出內容
「下載附件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「下載附件」動作時收到的 JSON 結果輸出內容:
{
"result": [
{"absolute_file_path" : ["PATH"]
"size_bytes": "187",
"file_name": "example.txt",
"sys_mod_count": "1",
"average_image_color": "",
"image_width": "",
"sys_updated_on": "2020-10-19 09:58:39",
"sys_tags": "",
"table_name": "problem",
"sys_id": "SYS_ID",
"image_height": "",
"sys_updated_by": "system",
"download_link": "https://example.service-now.com/api/now/attachment/ID/file",
"content_type": "text/plain",
"sys_created_on": "2020-10-19 09:58:38",
"size_compressed": "172",
"compressed": "true",
"state": "available",
"table_sys_id": "57771d002f002010c518532a2799b6cc",
"chunk_size_bytes": "700000",
"hash": "a4fbb8ab71268903845b59724835274ddc66e095de553c5e0c1da8fecd04ee45",
"sys_created_by": "admin"
}
]
}
輸出訊息
「Ping」動作可能會傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Download Attachments". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「下載附件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得子事件詳細資料
使用「Get Child Incident Details」(取得子事件詳細資料) 動作,根據 ServiceNow 中的父事件擷取子事件的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得子事件詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Parent Incident Number |
必填。 要從中擷取子事件詳細資料的事件編號。如要設定這個參數,請輸入下列格式的值: |
Max Child Incident To Return |
選填。 要傳回的子事件數。 |
動作輸出內容
「Get Child Incident Details」(取得子事件詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「Get Child Incident Details」動作會提供下表:
表格名稱:Child Incident Details
資料表欄:
- 系統 ID (對應為
sys_id) - 數字 (對應為
number) - 簡短說明 (對應為
short_description) - 建立時間 (對應為
sys_created_on)
JSON 結果
下列範例顯示使用「Get Child Incident Details」(取得子事件詳細資料) 動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"parent": "",
"made_sla": "true",
"caused_by": "",
"watch_list": "",
"upon_reject": "cancel",
"sys_updated_on": "2020-10-20 07:19:11",
"child_incidents": "0",
"hold_reason": "",
"approval_history": "",
"skills": "",
"number": "INC0010009",
"resolved_by": "",
"sys_updated_by": "admin",
"opened_by": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"user_input": "",
"sys_created_on": "2020-10-20 07:19:11",
"sys_domain": {
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"state": "1",
"sys_created_by": "admin",
"knowledge": "false",
"order": "",
"calendar_stc": "",
"closed_at": "",
"cmdb_ci": "",
"delivery_plan": "",
"contract": "",
"impact": "3",
"active": "true",
"work_notes_list": "",
"business_service": "",
"priority": "5",
"sys_domain_path": "/",
"rfc": "",
"time_worked": "",
"expected_start": "",
"opened_at": "2020-10-20 07:18:56",
"business_duration": "",
"group_list": "",
"work_end": "",
"caller_id": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"reopened_time": "",
"resolved_at": "",
"approval_set": "",
"subcategory": "",
"work_notes": "",
"short_description": "Assessment : ATF Assessor",
"close_code": "",
"correlation_display": "",
"delivery_task": "",
"work_start": "",
"assignment_group": "",
"additional_assignee_list": "",
"business_stc": "",
"description": "",
"calendar_duration": "",
"close_notes": "",
"notify": "1",
"service_offering": "",
"sys_class_name": "incident",
"closed_by": "",
"follow_up": "",
"parent_incident": {
"link": "https://example.service-now.com/api/now/table/incident/ID",
"value": "ID"
},
"sys_id": "2a100a1c2fc42010c518532a2799b621",
"contact_type": "",
"reopened_by": "",
"incident_state": "1",
"urgency": "3",
"problem_id": "",
"company": "",
"reassignment_count": "0",
"activity_due": "",
"assigned_to": "",
"severity": "3",
"comments": "",
"approval": "not requested",
"sla_due": "",
"comments_and_work_notes": "",
"due_date": "",
"sys_mod_count": "0",
"reopen_count": "0",
"sys_tags": "",
"escalation": "0",
"upon_approval": "proceed",
"correlation_id": "",
"location": "",
"category": "inquiry"
}
]
}
輸出訊息
「Get Child Incident Details」(取得子事件詳細資料) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Child Incident Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get Child Incident Details」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得 CMDB 記錄詳細資料
使用「Get CMDB Record Details」(取得 CMDB 記錄詳細資料) 動作,從 ServiceNow 中相同類別取得詳細的 CMDB 記錄。
這項操作會對所有 Google SecOps 實體執行。
如要執行這項操作,您必須在 ServiceNow 中將 itil 角色指派給使用者。詳情請參閱「設定角色和最低權限」。
如要進一步瞭解類別名稱,請參閱「查看及編輯類別定義和中繼資料」。
動作輸入內容
「Get CMDB Record Details」(取得 CMDB 記錄詳細資料) 動作需要下列參數:
| 參數 | 說明 |
|---|---|
Class Name |
必填。 要列出記錄的類別名稱,例如
|
Sys ID |
必填。 以半形逗號分隔的記錄系統 ID 清單,用於擷取詳細資料。 |
Max Relations To Return |
選填。 要傳回的每種記錄關係數量。 預設值為 |
動作輸出內容
「Get CMDB Record Details」(取得 CMDB 記錄詳細資料) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「Get CMDB Record Details」(取得 CMDB 記錄詳細資料) 動作時收到的 JSON 結果輸出內容:
{
"result": {
"outbound_relations": [
{
"sys_id": "56f3a7ad7f701200bee45f19befa910f",
"type": {
"display_value": "Members::Member of",
"link": "https://example.service-now.com/api/now/table/cmdb_rel_type/ID",
"value": "ID"
},
"target": {
"display_value": "Example",
"link": "https://example.service-now.com/api/now/cmdb/instance/cmdb_ci/ID",
"value": "ID"
}
}
],
"attributes": {
"attested_date": "",
"skip_sync": "false",
"operational_status": "1",
"caption": "",
"cluster_type": "",
"sys_updated_on": "2016-01-06 19:04:07",
"attestation_score": "",
"discovery_source": "",
"first_discovered": "",
"sys_updated_by": "example.user",
"cluster_status": "",
"due_in": "",
"sys_created_on": "2016-01-06 16:47:15",
"sys_domain": {
"display_value": "global",
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"install_date": "",
"invoice_number": "",
"gl_account": "",
"sys_created_by": "example.user",
"warranty_expiration": "",
"cluster_version": "",
"asset_tag": "",
"fqdn": "",
"change_control": "",
"owned_by": "",
"checked_out": "",
"sys_domain_path": "/",
"delivery_date": "",
"maintenance_schedule": "",
"install_status": "1",
"cost_center": "",
"attested_by": "",
"supported_by": "",
"dns_domain": "",
"name": "SAP-LB-Win-Cluster",
"assigned": "",
"purchase_date": "",
"subcategory": "Cluster",
"short_description": "",
"assignment_group": "",
"managed_by": "",
"managed_by_group": "",
"last_discovered": "",
"can_print": "false",
"sys_class_name": "cmdb_ci_win_cluster",
"manufacturer": "",
"sys_id": "SYS_ID",
"cluster_id": "",
"po_number": "",
"checked_in": "",
"sys_class_path": "/!!/!5/!$",
"vendor": "",
"mac_address": "",
"company": "",
"model_number": "",
"justification": "",
"department": "",
"assigned_to": "",
"start_date": "",
"cost": "",
"comments": "",
"sys_mod_count": "1",
"serial_number": "",
"monitor": "false",
"model_id": "",
"ip_address": "",
"duplicate_of": "",
"sys_tags": "",
"cost_cc": "USD",
"support_group": "",
"order_date": "",
"schedule": "",
"environment": "",
"due": "",
"attested": "false",
"unverified": "false",
"correlation_id": "",
"attributes": "",
"location": "",
"asset": "",
"category": "Resource",
"fault_count": "0",
"lease_id": ""
},
"inbound_relations": [
{
"sys_id": "3b3d95297f701200bee45f19befa910c",
"type": {
"display_value": "Depends on::Used by",
"link": "https://example.service-now.com/api/now/table/cmdb_rel_type/ID",
"value": "ID"
},
"target": {
"display_value": "IP-Router-3",
"link": "https://example.service-now.com/api/now/cmdb/instance/cmdb_ci/ID",
"value": "ID"
}
}
]
}
}
輸出訊息
「Get CMDB Record Details」(取得 CMDB 記錄詳細資料) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get CMDB Record Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Get CMDB Record Details」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得 OAuth 權杖
使用「Get Oauth Token」動作,取得 ServiceNow 的 OAuth 更新權杖。
如要執行這項動作,您必須設定下列整合參數:Username、Password、Client ID 和 Client Secret。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
無
動作輸出內容
「取得 OAuth 權杖」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得 OAuth 權杖」動作時收到的 JSON 結果輸出內容:
{
"access_token": "Na4Kb1oWpFcYNUnyAjsYldiTMxYF1Cz79Q",
"refresh_token": "0ryCENbbvfggZbNG9rFFd8_C8X0UgAQSMQkPJNStGwEEt0qNt-F1lw",
"scope": "useraccount",
"token_type": "Bearer",
"expires_in": 1799
}
輸出訊息
「Get Oauth Token」動作可以傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
Successfully generated Oauth tokens for ServiceNow. Now navigate
to the configuration tab and put "refresh_token" value in the "Refresh
Token" parameter. Note: "Username" and "Password" parameters can be
emptied. |
動作成功。 |
Error executing action "Get Oauth Token". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得 OAuth 權杖」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得事件
使用「Get Incident」(取得事件) 動作,擷取 ServiceNow 事件的相關資訊。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「取得事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Short Description |
選填。 事件的簡短說明。 |
Impact |
選填。 事件的影響程度。 可能的值如下:
1。 |
Urgency |
選填。 事件的緊急程度。 可能的值如下
1。 |
Category |
選填。 事件類別。 |
Assignment Group ID |
選填。 要指派事件的群組完整名稱。 |
Assigned User ID |
選填。 要指派事件的使用者全名。 |
Description |
選填。 事件說明。 |
Incident State |
選填。 事件的狀態名稱或狀態 ID。 |
動作輸出內容
「Get Incident」(取得事件) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Get Incident」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": "2012",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010041",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "10",
"notify": "1",
"resolved_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": "2020-07-10 12:53:06",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "1",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by": "admin",
"caused_by": " ",
"comments": " ",
"closed_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"priority": "1",
"state": "7",
"sys_id": "SYS_ID",
"opened_at": "2020-07-10 12:18:04",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": "sdf",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": "0",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": "Closed by Caller",
"business_duration": "1970-01-01 00:00:00",
"problem_id": " ",
"sys_updated_on": "2020-07-10 13:13:57",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": "1970-01-01 00:35:02",
"caller_id": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"active": "false",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": "2020-07-10 14:33:28",
"severity": "3",
"incident_state": "7",
"resolved_at": "2020-07-10 12:53:06",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 12:18:04",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": "Closed/Resolved by Caller",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "1",
"reopen_count": "0"
}
指令碼結果
下表列出使用「Get Incident」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
incident_number |
INCIDENT_NUMBER |
取得記錄詳細資料
使用「Get Record Details」(取得記錄詳細資料) 動作,擷取 ServiceNow 中特定表格記錄的相關資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得記錄詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要搜尋記錄的資料表名稱,例如 |
Record Sys ID |
必填。 要擷取詳細資料的記錄 ID。 |
Fields |
選填。 以半形逗號分隔的欄位清單,用於傳回記錄,例如 如未設定值,動作會傳回記錄的預設欄位。 |
動作輸出內容
「取得記錄詳細資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「取得記錄詳細資料」動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"parent": "",
"made_sla": "true",
"caused_by": "",
"watch_list": "",
"upon_reject": "cancel",
"sys_updated_on": "2020-10-20 07:19:11",
"child_incidents": "0",
"hold_reason": "",
"approval_history": "",
"skills": "",
"number": "INC0010009",
"resolved_by": "",
"sys_updated_by": "admin",
"opened_by": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"user_input": "",
"sys_created_on": "2020-10-20 07:19:11",
"sys_domain": {
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"state": "1",
"sys_created_by": "admin",
"knowledge": "false",
"order": "",
"calendar_stc": "",
"closed_at": "",
"cmdb_ci": "",
"delivery_plan": "",
"contract": "",
"impact": "3",
"active": "true",
"work_notes_list": "",
"business_service": "",
"priority": "5",
"sys_domain_path": "/",
"rfc": "",
"time_worked": "",
"expected_start": "",
"opened_at": "2020-10-20 07:18:56",
"business_duration": "",
"group_list": "",
"work_end": "",
"caller_id": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"reopened_time": "",
"resolved_at": "",
"approval_set": "",
"subcategory": "",
"work_notes": "",
"short_description": "Assessment : ATF Assessor",
"close_code": "",
"correlation_display": "",
"delivery_task": "",
"work_start": "",
"assignment_group": "",
"additional_assignee_list": "",
"business_stc": "",
"description": "",
"calendar_duration": "",
"close_notes": "",
"notify": "1",
"service_offering": "",
"sys_class_name": "incident",
"closed_by": "",
"follow_up": "",
"parent_incident": {
"link": "https://example.service-now.com/api/now/table/incident/ID",
"value": "ID"
},
"sys_id": "SYS_ID",
"contact_type": "",
"reopened_by": "",
"incident_state": "1",
"urgency": "3",
"problem_id": "",
"company": "",
"reassignment_count": "0",
"activity_due": "",
"assigned_to": "",
"severity": "3",
"comments": "",
"approval": "not requested",
"sla_due": "",
"comments_and_work_notes": "",
"due_date": "",
"sys_mod_count": "0",
"reopen_count": "0",
"sys_tags": "",
"escalation": "0",
"upon_approval": "proceed",
"correlation_id": "",
"location": "",
"category": "inquiry"
}
]
}
輸出訊息
「取得記錄詳細資料」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get Record Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得記錄詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
取得使用者詳細資料
使用「Get User Details」(取得使用者詳細資料) 動作,透過 ServiceNow 中的 sys_id 參數擷取使用者資訊。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「取得使用者詳細資料」動作需要下列參數:
| 參數 | 說明 |
|---|---|
User Sys IDs |
必填。 以半形逗號分隔的使用者 |
動作輸出內容
「取得使用者詳細資料」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「取得使用者詳細資料」動作會提供下表:
表格名稱:User Details
資料表欄:
- 系統 ID (對應為
sys_id) - 名稱 (對應為
name) - 使用者名稱 (對應為
user_name) - 電子郵件 (對應為
email)
JSON 結果
以下範例顯示使用「取得使用者詳細資料」動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"calendar_integration": "1",
"country": "",
"last_position_update": "",
"user_password": "example",
"last_login_time": "",
"source": "",
"sys_updated_on": "2020-08-29 02:42:42",
"building": "",
"web_service_access_only": "false",
"notification": "2",
"enable_multifactor_authn": "false",
"sys_updated_by": "user@example",
"sys_created_on": "2012-02-18 03:04:52",
"agent_status": "",
"sys_domain": {
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"state": "",
"vip": "false",
"sys_created_by": "admin",
"longitude": "",
"zip": "",
"home_phone": "",
"time_format": "",
"last_login": "",
"default_perspective": "",
"geolocation_tracked": "false",
"active": "true",
"sys_domain_path": "/",
"cost_center": {
"link": "https://example.service-now.com/api/now/table/cmn_cost_center/ID",
"value": "ID"
},
"phone": "",
"name": "Example User",
"employee_number": "",
"password_needs_reset": "false",
"gender": "Male",
"city": "",
"failed_attempts": "",
"user_name": "example.user",
"latitude": "",
"roles": "",
"title": "",
"sys_class_name": "sys_user",
"sys_id": "SYS_ID",
"internal_integration_user": "false",
"ldap_server": "",
"mobile_phone": "",
"street": "",
"company": {
"link": "https://example.service-now.com/api/now/table/core_company/ID",
"value": "ID"
},
"department": {
"link": "https://dev98773.service-now.com/api/now/table/cmn_department/ID",
"value": "ID"
},
"first_name": "Example",
"email": "example@example.com",
"introduction": "",
"preferred_language": "",
"manager": "",
"business_criticality": "3",
"locked_out": "false",
"sys_mod_count": "4",
"last_name": "User",
"photo": "",
"avatar": "063e38383730310042106710ce41f13b",
"middle_name": "",
"sys_tags": "",
"time_zone": "",
"schedule": "",
"on_schedule": "",
"date_format": "",
"location": {
"link": "https://example.service-now.com/api/now/table/cmn_location/ID",
"value": "ID"
}
}
]
}
輸出訊息
「Get User Details」(取得使用者詳細資料) 動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Get User Details". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「取得使用者詳細資料」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出 CMDB 記錄
使用「列出 CMDB 記錄」動作,列出 ServiceNow 中相同類別的 CMDB 記錄。
這項操作不會對 Google SecOps 實體執行。
如要執行這項操作,您必須在 ServiceNow 中將 itil 角色指派給使用者。詳情請參閱「設定角色和最低權限」。
如要進一步瞭解類別名稱,請參閱「查看及編輯類別定義和中繼資料」。
如何使用查詢篩選器 (sysparm_query)
如要取得 Query Filter 參數的正確查詢篩選器,請完成下列步驟:
在 ServiceNow 中,使用下列網址前往 CMDB 查詢產生器:
(https://SERVICENOW_INSTANCE/$queryBuilder.doabout:blank)在「Search CMDB Classes」(搜尋 CMDB 類別) 欄位中,輸入類別名稱。
將所需類別拖曳至建構工具畫布。
在瀏覽器中選取「開發人員工具」,然後前往「網路」分頁。
將指標懸停在拖曳至畫布的類別上,然後選取「篩選」filter_alt 欄位。
在「filter_alt Filter」(篩選器) 欄位中,輸入所選篩選器。
在「網路」分頁中,搜尋包含
map屬性的要求。舉例來說,要求網址如下:
https://example-instance.service-now.com/api/now/ui/query_parse/cmdb_ci_appl/map?sysparm_query=sys_idLIKE1%5Esys_idSTARTSWITH0%5EORsys_idSTARTSWITH2從網址中,複製
sysparm_query=屬性後方的值。這個值是您建立的篩選條件,以查詢形式呈現。 查詢值如下:sys_idLIKE1%5Esys_idSTARTSWITH0%5EORsys_idSTARTSWITH2。請先解碼網址查詢,再用於動作中。
動作輸入內容
「列出 CMDB 記錄」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Class Name |
必填。 要列出記錄的類別名稱,例如 |
Query Filter |
選填。 結果的查詢篩選器,例如
|
Max Records To Return |
選填。 要傳回的記錄數上限。 預設值為 |
動作輸出內容
「列出 CMDB 記錄」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 可用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
案件訊息牆表格
「列出 CMDB 記錄」動作會提供下表:
表格名稱:CLASS_NAME Records
資料表欄:
- 名稱 (對應為
name) - 系統 ID (對應為
sys_id)
JSON 結果
下列範例顯示使用「列出 CMDB 記錄」動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"sys_id": "SYS_ID",
"name": "Example server"
}
]
}
輸出訊息
「列出 CMDB 記錄」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List CMDB Records". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出 CMDB 記錄」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出記錄註解
使用「List Record Comments」(列出記錄註解) 動作,列出與 ServiceNow 中特定資料表記錄相關的註解。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出記錄註解」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要新增註解或附註的資料表名稱,例如 |
Type |
必填。 要新增的註解或附註類型。 可能的值如下:
預設值為 |
Record Sys ID |
必填。 要新增留言或工作附註的記錄 ID。 |
Max Results To Return |
選填。 要傳回的結果數上限。 預設值為 |
動作輸出內容
「列出記錄註解」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「列出記錄註解」動作時收到的 JSON 結果輸出內容:
{
"sys_id": "SYS_ID",
"sys_created_on": "2021-09-03 10:29:48",
"name": "incident",
"element_id": "552c48888c033300964f4932b03eb092",
"sys_tags": "",
"value": "test",
"sys_created_by": "admin",
"element": "comments"
}
輸出訊息
「列出記錄註解」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Record Comments". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「列出記錄註解」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
列出與使用者相關的記錄
使用「List Records Related To User」動作,列出 ServiceNow 中與使用者相關的表格記錄。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「列出與使用者相關的記錄」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要搜尋相關記錄的資料表名稱,例如 |
Usernames |
必填。 以半形逗號分隔的使用者名稱清單,用於擷取相關記錄。 |
Max Days Backwards |
必填。 要從幾天前開始擷取相關記錄。 |
Max Records To Return |
選填。 要為每位使用者傳回的記錄數。 預設值為 |
動作輸出內容
「列出與使用者相關的記錄」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「List Records Related To User」(列出與使用者相關的記錄) 動作時收到的 JSON 結果輸出內容:
{
"result": [
{
"parent": "",
"made_sla": "true",
"caused_by": "",
"watch_list": "",
"upon_reject": "cancel",
"sys_updated_on": "2020-10-19 14:18:40",
"child_incidents": "0",
"hold_reason": "",
"approval_history": "",
"skills": "",
"number": "INC0010008",
"resolved_by": "",
"sys_updated_by": "admin",
"opened_by": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"user_input": "",
"sys_created_on": "2020-10-19 14:18:40",
"sys_domain": {
"link": "https://example.service-now.com/api/now/table/sys_user_group/global",
"value": "global"
},
"state": "1",
"sys_created_by": "admin",
"knowledge": "false",
"order": "",
"calendar_stc": "",
"closed_at": "",
"cmdb_ci": "",
"delivery_plan": "",
"contract": "",
"impact": "3",
"active": "true",
"work_notes_list": "",
"business_service": "",
"priority": "5",
"sys_domain_path": "/",
"rfc": "",
"time_worked": "",
"expected_start": "",
"opened_at": "2020-10-19 14:18:20",
"business_duration": "",
"group_list": "",
"work_end": "",
"caller_id": {
"link": "https://example.service-now.com/api/now/table/sys_user/ID",
"value": "ID"
},
"reopened_time": "",
"resolved_at": "",
"approval_set": "",
"subcategory": "",
"work_notes": "",
"short_description": "TEST",
"close_code": "",
"correlation_display": "",
"delivery_task": "",
"work_start": "",
"assignment_group": "",
"additional_assignee_list": "",
"business_stc": "",
"description": "",
"calendar_duration": "",
"close_notes": "",
"notify": "1",
"service_offering": "",
"sys_class_name": "incident",
"closed_by": "",
"follow_up": "",
"parent_incident": "",
"sys_id": "SYS_ID",
"contact_type": "",
"reopened_by": "",
"incident_state": "1",
"urgency": "3",
"problem_id": "",
"company": {
"link": "https://example.service-now.com/api/now/table/core_company/ID",
"value": "ID"
},
"reassignment_count": "0",
"activity_due": "",
"assigned_to": "",
"severity": "3",
"comments": "",
"approval": "not requested",
"sla_due": "",
"comments_and_work_notes": "",
"due_date": "",
"sys_mod_count": "0",
"reopen_count": "0",
"sys_tags": "",
"escalation": "0",
"upon_approval": "proceed",
"correlation_id": "",
"location": "",
"category": "inquiry"
}
]
}
輸出訊息
「List Records Related To User」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "List Records Related To User". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「List Records Related To User」(列出與使用者相關的記錄) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
乒乓
使用「Ping」動作測試與 ServiceNow 的連線。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
無
動作輸出內容
「Ping」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「Ping」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
更新事件
使用「更新事件」動作更新事件資訊。
這項操作會對所有 Google SecOps 實體執行。
如要執行這項操作,您必須在 ServiceNow 中將 sn_incident_write 角色指派給使用者。詳情請參閱「設定角色和最低權限」。
動作輸入內容
「更新事件」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Short Description |
選填。 事件的簡短說明。 |
Impact |
選填。 事件的影響程度。 可能的值如下:
1。 |
Urgency |
選填。 事件的緊急程度。 可能的值如下
1。 |
Category |
選填。 事件類別。 |
Assignment Group ID |
選填。 要指派事件的群組完整名稱。 |
Assigned User ID |
選填。 要指派事件的使用者全名。 |
Description |
選填。 事件說明。 |
Incident State |
選填。 事件的狀態名稱或狀態 ID。 |
Custom Fields |
選填。 以半形逗號分隔的欄位和值清單。 如要設定這個參數,請輸入下列格式的值:
|
動作輸出內容
「更新事件」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
JSON 結果
下列範例顯示使用「更新事件」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": "2012",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010041",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "10",
"notify": "1",
"resolved_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": "2020-07-10 12:53:06",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "1",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by": "admin",
"caused_by": " ",
"comments": " ",
"closed_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"priority": "1",
"state": "7",
"sys_id": "SYS_ID",
"opened_at": "2020-07-10 12:18:04",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": "sdf",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": "0",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": "Closed by Caller",
"business_duration": "1970-01-01 00:00:00",
"problem_id": " ",
"sys_updated_on": "2020-07-10 13:13:57",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": "1970-01-01 00:35:02",
"caller_id": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"active": "false",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": "2020-07-10 14:33:28",
"severity": "3",
"incident_state": "7",
"resolved_at": "2020-07-10 12:53:06",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 12:18:04",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": "Closed/Resolved by Caller",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "1",
"reopen_count": "0"
}
指令碼結果
下表列出使用「更新事件」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
incident_number |
INCIDENT_NUMBER |
更新記錄
使用「Update Record」動作,更新 ServiceNow 中不同資料表的可用記錄。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「更新記錄」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
選填。 用於更新記錄的資料表。 |
Object JSON Data |
選填。 更新記錄所需的 JSON 資料。 |
Record Sys ID |
選填。 更新後記錄的系統 ID。 |
動作輸出內容
「更新記錄」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「更新記錄」動作時收到的 JSON 結果輸出內容:
{
"sys_tags": " ",
"user_input": " ",
"calendar_stc": " ",
"subcategory": " ",
"watch_list": " ",
"follow_up": " ",
"made_sla": "true",
"sys_created_by": "admin",
"sla_due": " ",
"number": "INC0010021",
"group_list": " ",
"reassignment_count": "0",
"assigned_to": " ",
"sys_mod_count": "0",
"notify": "1",
"resolved_by": " ",
"upon_reject": "cancel",
"additional_assignee_list": " ",
"category": "inquiry",
"closed_at": " ",
"parent_incident": " ",
"cmdb_ci": " ",
"contact_type": " ",
"impact": "3",
"rfc": " ",
"expected_start": " ",
"knowledge": "false",
"sys_updated_by": "admin",
"caused_by": " ",
"comments": " ",
"closed_by": " ",
"priority": "5",
"state": "1",
"sys_id": "SYS_ID",
"opened_at": "2020-07-10 08:24:34",
"child_incidents": "0",
"work_notes": " ",
"delivery_task": " ",
"short_description": " ",
"comments_and_work_notes": " ",
"time_worked": " ",
"upon_approval": "proceed",
"company": " ",
"business_stc": " ",
"correlation_display": " ",
"sys_class_name": "incident",
"delivery_plan": " ",
"escalation": "0",
"description": " ",
"parent": " ",
"close_notes": " ",
"business_duration": " ",
"problem_id": " ",
"sys_updated_on": "2020-07-10 08:24:34",
"approval_history": " ",
"approval_set": " ",
"business_service": " ",
"reopened_by": " ",
"calendar_duration": " ",
"caller_id": " ",
"active": "true",
"approval": "not requested",
"service_offering": " ",
"sys_domain_path": "/",
"hold_reason": " ",
"activity_due": " ",
"severity": "3",
"incident_state": "1",
"resolved_at": " ",
"location": " ",
"due_date": " ",
"work_start": " ",
"work_end": " ",
"work_notes_list": " ",
"sys_created_on": "2020-07-10 08:24:34",
"correlation_id": " ",
"contract": " ",
"reopened_time": " ",
"opened_by": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user/ID",
"value": "ID"
},
"close_code": " ",
"assignment_group": " ",
"sys_domain": {
"link": "https://example.service-now.com/api/now/v1/table/sys_user_group/global",
"value": "global"
},
"order": " ",
"urgency": "3",
"reopen_count": "0"
}
指令碼結果
下表列出使用「更新記錄」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
record_sys_id |
RECORD_SYS_ID
|
等待註解
使用「Wait For Comments」(等待留言) 動作,等待 ServiceNow 中特定表格記錄的相關留言。
這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。
這項操作不會在 Google SecOps 實體上執行。
動作輸入內容
「等待留言」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要新增註解或附註的資料表名稱,例如 |
Type |
必填。 要新增的註解或附註類型。 可能的值如下:
預設值為 |
Record Sys ID |
必填。 要新增留言或工作附註的記錄 ID。 |
Wait Mode |
選填。 動作的等待模式。 可能的值如下:
如果選取 如果選取 如果選取 如果選取 預設值為 |
Text |
選填。 動作等待的文字。 只有在為 |
動作輸出內容
「等待註解」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 可用 |
| 輸出訊息 | 可用 |
| 指令碼結果 | 可用 |
JSON 結果
以下範例顯示使用「Wait For Comments」動作時收到的 JSON 結果輸出內容:
{
"sys_id": "SYS_ID",
"sys_created_on": "2021-09-03 10:29:48",
"name": "incident",
"element_id": "552c48888c033300964f4932b03eb092",
"sys_tags": "",
"value": "test",
"sys_created_by": "admin",
"element": "comments"
}
輸出訊息
「Wait For Comments」動作可傳回下列輸出訊息:
| 輸出訊息 | 訊息說明 |
|---|---|
|
動作成功。 |
Error executing action "Wait For Comments". Reason:
ERROR_REASON |
動作失敗。 檢查伺服器的連線、輸入參數或憑證。 |
指令碼結果
下表列出使用「Wait For Comments」(等待留言) 動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
is_success |
True或False |
等待欄位更新
使用「Wait for Field Update」(等待欄位更新) 動作,等待 ServiceNow 中資料記錄的欄位更新。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「等待欄位更新」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Table Name |
必填。 要建立記錄的資料表名稱,例如 |
Record Sys ID |
必填。 要更新的記錄的系統 ID。 |
Field - Column Name |
必填。 要更新的資料欄名稱。 |
Field - Values |
必填。 資料欄中預期的值,例如 |
動作輸出內容
「等待欄位更新」動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「等待欄位更新」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
updated_field |
UPDATED_FIELD |
等待狀態更新
使用「Wait for Status Update」(等待狀態更新) 動作,等待 ServiceNow 中資料記錄的狀態更新。
這項操作會對所有 Google SecOps 實體執行。
動作輸入內容
「等待狀態更新」動作需要下列參數:
| 參數 | 說明 |
|---|---|
Incident Number |
必填。 事件數量。 如要設定這個參數值,請使用下列格式: |
Statuses |
必填。 預期會出現的事件狀態清單,例如 |
動作輸出內容
「Wait for Status Update」(等待狀態更新) 動作會提供下列輸出內容:
| 動作輸出類型 | 可用性 |
|---|---|
| 案件總覽附件 | 無法使用 |
| 案件總覽連結 | 無法使用 |
| 案件訊息牆表格 | 無法使用 |
| 補充資訊表格 | 無法使用 |
| JSON 結果 | 無法使用 |
| 指令碼結果 | 可用 |
指令碼結果
下表列出使用「等待狀態更新」動作時,指令碼結果輸出的值:
| 指令碼結果名稱 | 值 |
|---|---|
new_status |
STATUS |
連接器
如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。
ServiceNow 連接器
使用 ServiceNow 連接器從 ServiceNow 擷取事件。
如何使用動態清單
在「ServiceNow Connector」連接器中,您可以透過動態清單修改連接器傳送至 ServiceNow 的 sysparm_query 查詢。您可以篩選該記錄類型支援的每個欄位。
如要篩除資料,請將每個動態清單項目設定為包含一個欄位,格式如下:FIELD_NAME=VALUE.
欄位範例如下:category=security。
選取 Use whitelist as a blacklist 參數後,連接器會修改查詢,改為封鎖清單。
連接器輸入內容
ServiceNow 連接器需要下列參數:
| 參數 | 說明 |
|---|---|
Environment |
必填。 執行連接器的 Google SecOps 環境。 |
Run Every |
必填。 執行連接器的疊代週期。 根據預設,連接器每 10 秒會執行一次。 |
Product Field Name |
必填。 儲存產品名稱的欄位名稱。 預設值為 產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值 |
Event Field Name |
必填。 輸入來源欄位名稱,即可擷取事件欄位名稱。 預設值為 |
Rule Generator |
選填。 決定規則產生器的欄位名稱。 |
Api Root |
必填。 ServiceNow 執行個體的地址。 如要設定這個參數,請輸入下列格式的值:
|
Username |
必填。 ServiceNow 執行個體的使用者名稱。 |
Password |
必填。 ServiceNow 執行個體的密碼。 |
Verify SSL |
選填。 選取後,整合服務會在連線至 ServiceNow 時驗證 SSL 憑證。 (預設為啟用)。 |
Days Backwards |
選填。 第一次連接器疊代前的小時數,用來擷取事件。首次啟用連接器後,這個參數可套用至初始連接器疊代,或套用至過期連接器時間戳記的回溯值。 預設值為 |
Max Incidents per Cycle |
選填。 每次連接器疊代要擷取的事件數量。 預設值為 |
Environments Whitelist |
選填。 以半形逗號分隔的環境 (網域) 清單,供連接器擷取資料至 Google SecOps,例如 |
Use whitelist as a blacklist |
選填。 如果選取這個選項,連接器會將動態清單做為封鎖清單。 預設為未選取。 |
PythonProcessTimeout |
必填。 執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。 預設值為 |
Incident Table |
選填。 ServiceNow 用於處理事件相關動作的 API 根路徑。 根據預設,整合會使用 |
Client ID |
選填。 ServiceNow 應用程式的用戶端 ID。OAuth 2.0 需要這個參數。 |
Client Secret |
選填。 ServiceNow 應用程式的用戶端密鑰值。OAuth 2.0 需要這個參數。 |
Refresh Token |
選填。 ServiceNow 應用程式的重新整理權杖。 OAuth 2.0 需要這個參數。 |
Use Oauth Authentication |
選填。 如果選取這個選項,整合服務會使用 OAuth 2.0 進行驗證。如果選取這個參數,請設定 預設為未選取。 |
Server Time Zone |
選填。 伺服器中設定的時區,例如 |
Table Name |
選填。 要從中擷取記錄的資料表名稱,例如 |
Event Name |
選填。 Google SecOps 事件的名稱,例如 |
Proxy Server Address |
選填。 要使用的 Proxy 伺服器位址。 |
Proxy Username |
選填。 用於驗證的 Proxy 使用者名稱。 |
Proxy Password |
選填。 用於驗證的 Proxy 密碼。 |
Get User Information |
選填。 如果選取這個選項,連接器還會擷取與事件相關的使用者資訊。 |
Assignment Group |
選填。 您要擷取記錄的指派群組名稱。 |
連接器規則
連接器支援 Proxy。
連接器支援動態清單和封鎖清單。
工作
ServiceNow 整合功能包含下列工作:
同步處理已結案的事件
使用「Sync Closed Incidents」(同步處理已結案的事件) 工作,同步處理已結案的 ServiceNow 事件和 Google SecOps 快訊。這項工作會處理以快訊和案件形式擷取的 ServiceNow 事件,其中包含「ServiceNow」標記和「TICKET_ID」內容值,以及事件編號。
工作輸入內容
「Sync Closed Incidents」作業需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 ServiceNow 執行個體的 API 根層級。 預設值為 |
Username |
必填。 ServiceNow 執行個體的使用者名稱。 |
Password |
必填。 ServiceNow 執行個體的密碼。 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 ServiceNow 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
Client ID |
選填。 ServiceNow 整合的用戶端 ID。 如果是 OAuth 2.0,使用用戶端憑證進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Client Secret |
選填。 ServiceNow 整合的用戶端密鑰。 如果是 OAuth 2.0,使用用戶端憑證進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Refresh Token |
選填。 ServiceNow 整合的重新整理權杖。權杖每 90 天就會失效 如果是 OAuth 2.0,使用更新權杖進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Use Oauth Authentication |
選填。 如果選取這個選項,整合服務會使用 OAuth 2.0 進行驗證。 OAuth 2.0 需要用戶端憑證 ( |
Max Hours Backwards |
選填。 要從幾小時前開始同步處理案件。 預設值為 |
Table Name |
必填。 要搜尋的資料庫資料表名稱,例如 |
同步事件
使用「Sync Incidents」工作,同步處理與 Google SecOps 案件和快訊相關的 ServiceNow 事件欄位和附件。
這項工作需要為整合中使用的使用者設定 ITIL (itil) 角色。如要進一步瞭解 ServiceNow 中的 ITIL 角色,請參閱基本系統角色。
如要讓工作正常運作,請將 ServiceNow Incident Sync 標記新增至案件,並視 Sync Level 參數而定,將 TICKET_ID 值新增至案件或快訊。TICKET_ID 值範例如下:
INC0000050,INC0000051。
Ticket_ID 是內容值,您可以使用 Siemplify 整合的「Set Scope Context Value」(設定範圍內容值) 動作設定。
工作輸入內容
「Sync Incidents」作業需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 ServiceNow 執行個體的 API 根層級。 預設值為 |
Username |
必填。 ServiceNow 執行個體的使用者名稱。 |
Password |
必填。 ServiceNow 執行個體的密碼。 |
Sync Level |
必填。 作業擷取的資料類型。 可能的值如下:
預設值為 |
Max Hours Backwards |
必填。 要從幾小時前開始同步處理案件。 預設值為 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 ServiceNow 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
同步處理表格記錄留言
使用「Sync Table Record Comments」(同步處理表格記錄註解) 工作,同步處理 ServiceNow 表格記錄和 Google SecOps 案件中的註解。
工作輸入內容
「同步處理資料表記錄註解」工作需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 ServiceNow 執行個體的 API 根層級。 預設值為 |
Username |
必填。 ServiceNow 執行個體的使用者名稱。 |
Password |
必填。 ServiceNow 執行個體的密碼。 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 ServiceNow 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
Client ID |
選填。 ServiceNow 整合的用戶端 ID。 如果是 OAuth 2.0,使用用戶端憑證進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Client Secret |
選填。 ServiceNow 整合的用戶端密鑰。 如果是 OAuth 2.0,使用用戶端憑證進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Refresh Token |
選填。 ServiceNow 整合的重新整理權杖。權杖每 90 天就會失效 如果是 OAuth 2.0,使用更新權杖進行驗證時,必須提供這個參數。 您可以使用更新權杖或用戶端憑證進行驗證。如果同時設定這兩者,整合服務會使用更新權杖進行驗證。 |
Use Oauth Authentication |
選填。 如果選取這個選項,整合服務會使用 OAuth 2.0 進行驗證。 OAuth 2.0 需要用戶端憑證 ( |
Table Name |
必填。 要搜尋的資料庫資料表名稱,例如 |
依標記同步處理表格記錄留言
使用「Sync Table Record Comments By Tag」(依標記同步處理表格記錄註解) 工作,同步處理 ServiceNow 表格記錄和 Google SecOps 案件中的註解。
這項工作需要案件具備下列標籤:
ServiceNow TABLE_NAMEServiceNow TicketId: TICKET_ID
工作輸入內容
「Sync Table Record Comments By Tag」工作需要下列參數:
| 參數 | 說明 |
|---|---|
API Root |
必填。 ServiceNow 執行個體的 API 根層級。 預設值為 |
Username |
必填。 ServiceNow 執行個體的使用者名稱。 |
Password |
必填。 ServiceNow 執行個體的密碼。 |
Table Name |
必填。 要搜尋的資料庫資料表名稱,例如 |
Verify SSL |
選填。 如果選取這個選項,整合服務會在連線至 ServiceNow 伺服器時驗證 SSL 憑證。 (預設為啟用)。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。