Détection pilotée par l'alerte Microsoft Azure

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 7 minutes de lecture

    • Le service d'alerte de Microsoft Azure peut émettre des alertes pour tout changement au niveau de l'état du cycle de vie ou de la configuration d'une ressource dans le cloud. Vous pouvez configurer le service pour mettre à jour automatiquement les dernières informations de ressource dans la Base de données de gestion des configurations (CMDB) sans attendre la prochaine exécution planifiée de Détection dans le cloud.

    Important :
    Le Azure traitement des changements offre des performances optimales par rapport à la détection pilotée par les Microsoft Azure alertes qui utilise une forme héritée d’authentification et ne doit plus être utilisée. À partir de la version 1.1.0 de l’application Modèles de détection et de mappage des services , le Azure traitement des changements a remplacé la détection pilotée par les Microsoft Azure alertes. Utilisez le nouveau webhook sécurisé ou migrez vers Azure Traitement des changements pour des gains de performances supplémentaires. Pour plus d’informations, consultez sur le webhook sécurisé, consultez l’article de la base de connaissances Service d’alerte Azure pour mettre à jour automatiquement la CMDB a une URL webhook sans informations d’identification dans le portail Azure.

    Pendant le traitement des événements, le planificateur d'événements dans le cloud identifie le domaine du compte de service et l'affecte à l'événement. Si une erreur se produit lors de l'identification du domaine avant le traitement, il est parfois possible que l'événement ne soit pas affecté et devienne visible pour tous les domaines. Pour empêcher la visibilité des événements ayant échoué sur tous les domaines, vous pouvez définir la propriété sn_cmp.error_events.default_domain sur sys_id du domaine du fournisseur de service afin que seul l'administrateur du domaine du fournisseur de service puisse consulter les événements ayant échoué.

    Vous pouvez configurer l'API REST scriptée pour l'événement dans le cloud afin de recevoir des alertes du service d'alerte de Microsoft Azure. Pour chaque alerte, également appelée événement, l'API crée un enregistrement dans la table Événements dans le cloud [sn_cmp_cloud_event]. Le planificateur d'événements dans le cloud lit les événements à partir de la table [sn_cmp_cloud_event] pour le traitement par lots. Le planificateur appelle le modèle pour traiter les événements qui sont à l'état Prêt. Les modèles détectent la ressource affectée et ajoutent ou mettent à jour ses détails dans la CMDB. Cette méthode permet de mettre à jour les données d’élément de CMDB configuration (CI) et d’afficher les dernières données dans le portail de l’utilisateur dans le cloud.

    Important :
    si vous utilisez Domain Separation pour Détection dans le cloud, les événements sont également séparés par domaine. Par conséquent, vous ne pouvez afficher les détails d'un événement traité que s'il appartient à votre domaine. Si un événement n'est associé à aucun compte de service, il est associé au domaine global.
    Pour chaque événement, l'API REST scriptée pour l'événement dans le cloud conserve la table suivante [sn_cmp_cloud_event] :
    • Source : ce champ est toujours défini sur le journal d'activité Azure.
    • Nom d'événement : nom de l'événement reçu de la console Microsoft Azure.
    • ID de ressource : ID de la ressource affectée. En cas d'événement d'ordinateur virtuel, Détection dans le cloud utilise ces informations pour identifier l'ordinateur virtuel.
    • Type de ressource : type de la ressource affectée.

    Configurer le service d’alerte Microsoft Azure pour mettre à jour automatiquement le CMDB

    Configurez le service d'alerte de Microsoft Azure pour mettre à jour automatiquement la Base de données de gestion des configurations (CMDB) sans attendre la prochaine exécution planifiée de Détection dans le cloud.

    Avant de commencer

    • Assurez-vous que Découverte ou Cloud Provisioning and Governance est activé dans l'instance.
      • Un Serveur MID actif avec l'option de détection Microsoft Azure est disponible.
        Remarque :
        La configuration d'alerte continue à envoyer des alertes, même lorsque le Serveur MID est en panne. Cela se traduit par un nombre élevé d'erreurs dans la file d'attente ECC. Si aucun Serveur MID n'est disponible, vous devez désactiver manuellement la règle d'alerte Microsoft Azure. La table Règles d'alerte Azure [azure_alert_rule] contient toutes les règles d'alerte Microsoft Azure.
    Rôle requis :
    • Rôle ServiceNow : sn_cmp.cloud_event_integration
    • Rôles Microsoft Azure :
      • Informations d'identification Microsoft Azure avec le rôle Lecteur
      • Rôle Microsoft Azure personnalisé avec les autorisations suivantes :
        "permissions": [
            {
                "actions": [
                    "Microsoft.Insights/ActionGroups/Write",
                    "Microsoft.Insights/ActionGroups/Delete",
                    "Microsoft.Insights/ActionGroups/Read",
                    "Microsoft.Insights/ActivityLogAlerts/Write",
                    "Microsoft.Insights/ActivityLogAlerts/Delete",
                    "Microsoft.Insights/ActivityLogAlerts/Read",
                    "Microsoft.Insights/ActivityLogAlerts/Activated/Action",
                    "Microsoft.Insights/AlertRules/Write",
                    "Microsoft.Insights/AlertRules/Delete",
                    "Microsoft.Insights/AlertRules/Read",
                    "Microsoft.Resources/deployments/write",
                    "Microsoft.Resources/deployments/delete",
                    "Microsoft.Resources/deployments/read"
                ],
      Remarque :
      pour configurer la détection pilotée par l'alerte, vous pouvez utiliser un principal de service Microsoft Azure avec le rôle de lecteur uniquement. Pour en savoir plus, consultez l'article de la communauté Azure alert driven discovery with reader privileges.

    Pourquoi et quand exécuter cette tâche

    Une fois le service d’alerte configuré, il facilite le suivi de l’état du cycle de vie et de la configuration des ressources dans le Microsoft Azure cloud.

    Important :
    Vous pouvez utiliser un webhook sécurisé pour transférer les Microsoft Azure alertes au Now Platform. Pour plus d'informations, consultez Utilisez un webhook sécurisé pour transférer le Microsoft Azure alertes à la Now Platform [KB1208357].

    Procédure

    1. Désactivez l'authentification pour l'API REST scriptée pour l'événement dans le cloud, car l'alerte de Microsoft Azure ne prend pas en charge l'authentification de base.
      1. En tant qu’administrateur, accédez à Services Web basés sur un script > API REST basées sur un script.
      2. Ouvrez l'enregistrement d'événements dans le cloud.
      3. À partir de l'onglet Ressources, ouvrez l'enregistrement Publication de l'événement de configuration dans le cloud.
      4. Définissez le périmètre de l'application sur Global.
      5. Dans l'onglet Sécurité, décochez la case Requiert une authentification.
        Important :
        L'instance ServiceNow utilise une URL Webhook pour la détection pilotée par l'alerte. Toutefois, la configuration d'alerte Microsoft Azure de l'instance ServiceNow ne prend pas en charge l'authentification pour la création du webhook. Vous pouvez activer l'authentification en fournissant le nom d'utilisateur et le mot de passe dans l'URL Webhook. Pour en savoir plus, consultez l'article KB0963526.
    2. Accédez à la Découverte > Alertes dans le cloud > Configurations des alertes Azure.
      Remarque :
      Si Découverte est activée dans l’instance, vous pouvez accéder directement aux configurations d’alerte à l’aide de l’URL de votre instance. Par exemple : 
      https://{instancename}.service-now.com/sn_cmp_azure_alert_configuration_list.do
    3. Dans l'onglet Azure, sélectionnez Nouveau.
    4. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Configuration d'alerte Azure
      Champ Description
      Compte de service Compte de service Microsoft Azure pour lequel vous souhaitez créer la configuration d'alerte Azure.

      Assurez-vous que Détection dans le cloud a détecté tous les centres de données logiques (LDC) associés au compte dans le cloud.
      Groupe de ressources Groupe de ressources qui contient les règles d'alerte.

      Sélectionnez le compte de service Microsoft Azure Pour en savoir plus sur la création d'un compte de service Microsoft Azure, consultez Ajouter un Azure compte de services.

      L'instance crée les règles d'alerte pour toutes les ressources disponibles dans le compte de service.
      Activer Option indiquant l'état de la configuration d'alerte.

      Cette option est sélectionnée par défaut.
      Utilisateur Nom d'utilisateur d'un utilisateur ServiceNow disposant du rôle sn_cmp.cloud_event_integration.
      Mot de passe Mot de passe du compte de l'utilisateur ServiceNow.
    5. Sélectionnez Envoyer.
      Lors de la configuration réussie du service d'alerte de Microsoft Azure, l'état de la configuration d'alerte passe de Aucun à Activé.

    Ajouter une règle d'alerte Microsoft Azure

    Activez la détection pilotée par les alertes pour un nouveau type d'alerte Microsoft Azure en l'ajoutant à la table Règles d'alerte Azure [azure_alert_rule].

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    La table Règles d'alerte Azure [azure_alert_rule] contient tous les types d'alertes pris en charge. Pour plus d'informations, consultez Types d'alertes Microsoft Azure pris en charge. Le service d'alerte de Microsoft Azure utilise les informations stockées dans la table Règles d'alerte Azure [azure_alert_rule] pour émettre des alertes. Détection dans le cloud prend également en charge toutes les alertes générées pour les membres du groupe de ressources spécifiés dans la configuration d'alerte de Microsoft Azure.

    Procédure

    1. Accédez à la table Règles d'alerte Azure [azure_alert_rule] en saisissant l'URL suivante dans la barre de navigation du navigateur :
      https://<nom de l'instance>.service-now.com/azure_alert_rule_list.do
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Règle d'alerte Azure
      Champ Description
      Nom de la règle Nom du type d'alerte Microsoft Azure.
      Action Chemin de l'API des opérations de ressources Microsoft Azure.

      Pour plus d’informations sur les Microsoft Azure ressources pour lesquelles vous pouvez déclencher des alertes, accédez à Microsoft Azure documentation et consultez « Opérations de fournisseur de ressources Azure ».
      Actif Option indiquant l'état du type d'alerte Microsoft Azure.

      Cette option est sélectionnée par défaut.
    4. Sélectionnez Soumettre.

    Types d'alertes Microsoft Azure pris en charge

    Le système de base Détection dans le cloud prend en charge la détection pilotée par les alertes pour plusieurs types d'alertes Microsoft Azure. La table Règles d'alerte Azure [azure_alert_rule] contient les types d'alertes pris en charge.

    Le système de base Détection dans le cloud prend en charge les types d'alertes Microsoft Azure suivants :
    Microsoft.Compute/virtualMachines/deallocate/action 
Microsoft.Network/privateDnsZones/delete 
Microsoft.Compute/availabilitySets/write 
Microsoft.Network/loadBalancers/write 
Microsoft.Network/connections/delete 
Microsoft.Network/publicIPAddresses/delete 
Microsoft.Storage/storageAccounts/write 
Microsoft.Network/virtualNetworks/delete 
Microsoft.Sql/servers/databases/delete 
Microsoft.Network/expressRouteCircuits/write 
Microsoft.Network/localnetworkgateways/delete 
Microsoft.Network/networkInterfaces/delete 
Microsoft.Compute/virtualmachines/write 
Microsoft.Network/expressRouteCircuits/delete 
Microsoft.Network/natGateways/write 
Microsoft.Network/loadBalancers/delete 
Microsoft.Compute/virtualMachineScaleSets/delete 
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete 
Microsoft.Storage/storageAccounts/delete 
Microsoft.Compute/availabilitySets/delete 
Microsoft.Network/connections/write 
Microsoft.Compute/virtualMachines/start/action 
Microsoft.Compute/virtualMachines/restart/action 
Microsoft.Sql/servers/databases/write 
Microsoft.Compute/virtualMachines/delete 
Microsoft.Network/networkInterfaces/write 
Microsoft.Network/privateDnsZones/write 
Microsoft.Network/localnetworkgateways/write 
Microsoft.Network/natGateways/delete 
Microsoft.Compute/virtualMachines/stop/action 
Microsoft.Network/publicIPAddresses/write 
Microsoft.Compute/virtualMachineScaleSets/write 
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write 
Microsoft.Network/virtualNetworks/write 
Microsoft.Sql/servers/delete 
Microsoft.Sql/servers/write