ServiceNow-Sicherheitsprotokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Sicherheitsereignisdaten aus ServiceNow-JSON-Logs und ordnet relevante Felder dem UDM zu. Es verarbeitet verschiedene Ereignistypen wie Anmeldungen und Berechtigungsänderungen und füllt Informationen zu Hauptkonten/Zielnutzern, IP-Adressen und Metadaten wie Anbieter- und Produktdetails ein.

Hinweise

Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz.
  • Privilegierter Zugriff auf ServiceNow Security.

Feeds einrichten

Es gibt zwei verschiedene Einstiegspunkte zum Einrichten von Feeds in der Google SecOps-Plattform:

  • SIEM-Einstellungen > Feeds
  • Content Hub> Content-Pakete

Feeds über „SIEM-Einstellungen“ > „Feeds“ einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. ServiceNow Security Logs (ServiceNow-Sicherheitslogs).
  5. Wählen Sie Webhook als Quelltyp aus.
  6. Wählen Sie ServiceNow Security als Log type (Protokolltyp) aus.
  7. Klicken Sie auf Weiter.
  8. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
  9. Klicken Sie auf Weiter.
  10. Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
  11. Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  12. Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
  13. Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  14. Klicken Sie auf Fertig.

Feeds über den Content Hub einrichten

Geben Sie Werte für die folgenden Felder an:

  • Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.

Erweiterte Optionen

  • Feedname: Ein vorausgefüllter Wert, der den Feed identifiziert.
  • Quelltyp: Methode, die zum Erfassen von Logs in Google SecOps verwendet wird.
  • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.

  • Aufnahmelabels: Labels, die auf alle Ereignisse aus diesem Feed angewendet werden.

  • Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.

  • Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.

  • Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.

  2. Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: Die URL des Feed-Endpunkts.
    • API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.
    • SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in ServiceNow konfigurieren

  1. Melden Sie sich mit einem privilegierten Konto in ServiceNow Security an.
  2. Gehen Sie zu Konfiguration > Monitoring > Verbindungen.
  3. Klicken Sie auf Hinzufügen .
  4. Wählen Sie Webhook aus.
  5. Geben Sie Werte für die folgenden Parameter an:
    • Name: Geben Sie einen aussagekräftigen Namen für den Webhook an, z. B. Google SecOps.
    • URL: Geben Sie die Google SecOps-ENDPOINT_URL mit API_KEY und SECRET ein.
  6. Klicken Sie auf Speichern, um die Webhook-Konfiguration abzuschließen.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
created_by target.user.userid Wird target.user.userid zugeordnet, wenn snc_user leer ist.
event metadata.product_event_type Direkt aus dem Rohlogfeld „event“ zugeordnet.
event_created metadata.event_timestamp.seconds Mit dem Filter date in Sekunden umgerechnet aus dem Rohlogfeld „event_created“.
ip_address principal.ip Direkt aus dem Rohlogfeld „ip_address“ zugeordnet, sofern es nicht leer ist.
snc_user target.user.userid Wird direkt aus dem Rohlogfeld „snc_user“ zugeordnet, sofern es nicht leer ist.
Nutzer principal.user.userid Direkt aus dem Rohlogfeld „user“ zugeordnet, sofern es nicht leer oder „null“ ist.
extensions.auth.type Auf „MACHINE“ festgelegt, wenn das Feld event „Failed Login“, „SNC Login“, „Admin Login“ oder „Impersonation“ lautet.
metadata.event_type Auf „USER_LOGIN“ festgelegt, wenn das Feld event „Failed Login“ (Fehlgeschlagene Anmeldung), „SNC Login“ (SNC-Anmeldung), „Admin Login“ (Administratoranmeldung) oder „Impersonation“ (Identitätsdiebstahl) lautet. Auf „USER_CHANGE_PERMISSIONS“ festlegen, wenn das Feld event „Security Elevation“ ist.
metadata.log_type Fest codiert auf „SERVICENOW_SECURITY“.
metadata.product_name Fest codiert auf „SERVICENOW_SECURITY“.
metadata.vendor_name Fest codiert auf „SERVICENOW“.
principal.user.userid Wird auf „UNKNOWN“ gesetzt, wenn das Feld user leer oder „null“ ist.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten