Dieser Parser extrahiert Sicherheitsereignisdaten aus ServiceNow-JSON-Logs und ordnet relevante Felder dem UDM zu. Es verarbeitet verschiedene Ereignistypen wie Anmeldungen und Berechtigungsänderungen und füllt Informationen zu Hauptkonten/Zielnutzern, IP-Adressen und Metadaten wie Anbieter- und Produktdetails ein.
Hinweise
Prüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:
Google SecOps-Instanz.
Privilegierter Zugriff auf ServiceNow Security.
Feeds einrichten
So konfigurieren Sie einen Feed:
Rufen Sie die SIEM-Einstellungen>Feeds auf.
Klicken Sie auf Neuen Feed hinzufügen.
Klicken Sie auf der nächsten Seite auf Einen einzelnen Feed konfigurieren.
Geben Sie im Feld Feed name (Feedname) einen Namen für den Feed ein, z. B. ServiceNow Security Logs (ServiceNow-Sicherheitsprotokolle).
Wählen Sie Webhook als Quelltyp aus.
Wählen Sie ServiceNow Security als Log type (Protokolltyp) aus.
Klicken Sie auf Weiter.
Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
Trennzeichen für Aufteilung: Das Trennzeichen, das zum Trennen von Logzeilen verwendet wird, z. B. \n.
Klicken Sie auf Weiter.
Prüfen Sie die Feedkonfiguration auf dem Bildschirm Finalize (Abschließen) und klicken Sie dann auf Submit (Senden).
Klicken Sie auf Geheimen Schlüssel generieren, um einen geheimen Schlüssel zur Authentifizierung dieses Feeds zu generieren.
Kopieren Sie den geheimen Schlüssel und speichern Sie ihn. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen geheimen Schlüssel generieren. Dadurch wird der vorherige geheime Schlüssel jedoch ungültig.
Kopieren Sie auf dem Tab Details die Feed-Endpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
Klicken Sie auf Fertig.
API-Schlüssel für den Webhook-Feed erstellen
Rufen Sie die Google Cloud Console > Anmeldedaten auf.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Schränken Sie den API-Schlüsselzugriff auf die Google Security Operations API ein.
Endpunkt-URL angeben
Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed bereitgestellt wird.
Aktivieren Sie die Authentifizierung, indem Sie den API-Schlüssel und den geheimen Schlüssel als Teil des benutzerdefinierten Headers im folgenden Format angeben:
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Headern unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mit Suchparametern im folgenden Format angeben:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Ersetzen Sie Folgendes:
ENDPOINT_URL: Die URL des Feed-Endpunkts.
API_KEY: Der API-Schlüssel für die Authentifizierung bei Google SecOps.
SECRET: Der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.
Webhook in ServiceNow konfigurieren
Melden Sie sich mit einem privilegierten Konto in ServiceNow Security an.
Gehen Sie zu Konfiguration>Monitoring>Verbindungen.
Klicken Sie auf
Hinzufügen
.
Wählen Sie Webhook aus.
Geben Sie Werte für die folgenden Parameter an:
Name: Geben Sie einen aussagekräftigen Namen für den Webhook an, z. B. Google SecOps.
URL: Geben Sie die Google SecOps-ENDPOINT_URL mit API_KEY und SECRET ein.
Klicken Sie auf Speichern, um die Webhook-Konfiguration abzuschließen.
UDM-Zuordnung
Logfeld
UDM-Zuordnung
Logik
created_by
target.user.userid
Wird target.user.userid zugeordnet, wenn snc_user leer ist.
event
metadata.product_event_type
Direkt aus dem Rohlogfeld „event“ zugeordnet.
event_created
metadata.event_timestamp.seconds
Mit dem Filter date in Sekunden umgerechnet aus dem Rohlogfeld „event_created“.
ip_address
principal.ip
Direkt aus dem Rohlogfeld „ip_address“ zugeordnet, sofern es nicht leer ist.
snc_user
target.user.userid
Wird direkt aus dem Rohlogfeld „snc_user“ zugeordnet, sofern es nicht leer ist.
Nutzer
principal.user.userid
Direkt aus dem Rohlogfeld „user“ zugeordnet, sofern es nicht leer oder „null“ ist.
extensions.auth.type
Auf „MACHINE“ festgelegt, wenn das Feld event „Failed Login“, „SNC Login“, „Admin Login“ oder „Impersonation“ lautet.
metadata.event_type
Auf „USER_LOGIN“ festgelegt, wenn das Feld event „Failed Login“ (Fehlgeschlagene Anmeldung), „SNC Login“ (SNC-Anmeldung), „Admin Login“ (Administratoranmeldung) oder „Impersonation“ (Identitätsdiebstahl) lautet. Auf „USER_CHANGE_PERMISSIONS“ festlegen, wenn das Feld event „Security Elevation“ ist.
metadata.log_type
Fest codiert auf „SERVICENOW_SECURITY“.
metadata.product_name
Fest codiert auf „SERVICENOW_SECURITY“.
metadata.vendor_name
Fest codiert auf „SERVICENOW“.
principal.user.userid
Wird auf „UNKNOWN“ gesetzt, wenn das Feld user leer oder „null“ ist.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-02 (UTC)."],[[["\u003cp\u003eThis guide outlines how to collect security event data from ServiceNow JSON logs and ingest them into Google SecOps using a webhook feed.\u003c/p\u003e\n"],["\u003cp\u003eThe process involves setting up a feed in Google SecOps, generating a secret API key, and configuring the ServiceNow webhook to send logs to the specified Google SecOps endpoint URL.\u003c/p\u003e\n"],["\u003cp\u003eSecurity event types such as logins and permission changes are handled, and data fields from ServiceNow logs are mapped to the Unified Data Model (UDM) within Google SecOps.\u003c/p\u003e\n"],["\u003cp\u003eAuthentication for the webhook feed is managed using an API key and secret key, which can be specified in the request header or as query parameters.\u003c/p\u003e\n"],["\u003cp\u003eSpecific UDM mapping is provided, outlining how fields like user IDs, event timestamps, IP addresses, and event types are transferred from ServiceNow to their corresponding fields in Google Security Operations.\u003c/p\u003e\n"]]],[],null,["# Collect ServiceNow Security logs\n================================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nOverview\n--------\n\nThis parser extracts security event data from ServiceNow JSON logs, mapping relevant fields to the UDM. It handles various event types like logins and permission changes, populating principal/target user information, IP addresses, and metadata like vendor and product details.\n\nBefore you begin\n----------------\n\nEnsure that you have the following prerequisites:\n\n- Google SecOps instance.\n- Privileged access to ServiceNow Security.\n\nSet up feeds\n------------\n\nTo configure a feed, follow these steps:\n\n1. Go to **SIEM Settings** \\\u003e **Feeds**.\n2. Click **Add New Feed**.\n3. On the next page, click **Configure a single feed**.\n4. In the **Feed name** field, enter a name for the feed; for example, **ServiceNow Security Logs**.\n5. Select **Webhook** as the **Source type**.\n6. Select **ServiceNow Security** as the **Log type**.\n7. Click **Next**.\n8. Optional: Specify values for the following input parameters:\n - **Split delimiter** : the delimiter that is used to separate log lines, such as `\\n`.\n9. Click **Next**.\n10. Review the feed configuration in the **Finalize** screen, and then click **Submit**.\n11. Click **Generate Secret Key** to generate a secret key to authenticate this feed.\n12. Copy and store the secret key. You cannot view this secret key again. If needed, you can regenerate a new secret key, but this action makes the previous secret key obsolete.\n13. From the **Details** tab, copy the feed endpoint URL from the **Endpoint Information** field. You need to specify this endpoint URL in your client application.\n14. Click **Done**.\n\nCreate an API key for the webhook feed\n--------------------------------------\n\n1. Go to **Google Cloud console \\\u003e Credentials**.\n\n [Go to Credentials](https://console.cloud.google.com/apis/credentials)\n2. Click **Create credentials** , and then select **API key**.\n\n3. Restrict the API key access to the **Google Security Operations API**.\n\nSpecify the endpoint URL\n------------------------\n\n1. In your client application, specify the HTTPS endpoint URL provided in the webhook feed.\n2. Enable authentication by specifying the API key and secret key as part of the custom header in the following format:\n\n X-goog-api-key = \u003cvar class=\"readonly\" translate=\"no\"\u003eAPI_KEY\u003c/var\u003e\n X-Webhook-Access-Key = \u003cvar class=\"readonly\" translate=\"no\"\u003eSECRET\u003c/var\u003e\n\n **Recommendation**: Specify the API key as a header instead of specifying it in the URL.\n3. If your webhook client doesn't support custom headers, you can specify the API key and secret key using query parameters in the following format:\n\n \u003cvar translate=\"no\"\u003eENDPOINT_URL\u003c/var\u003e?key=\u003cvar translate=\"no\"\u003eAPI_KEY\u003c/var\u003e&secret=\u003cvar translate=\"no\"\u003eSECRET\u003c/var\u003e\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eENDPOINT_URL\u003c/var\u003e: the feed endpoint URL.\n - \u003cvar translate=\"no\"\u003eAPI_KEY\u003c/var\u003e: the API key to authenticate to Google SecOps.\n - \u003cvar translate=\"no\"\u003eSECRET\u003c/var\u003e: the secret key that you generated to authenticate the feed.\n\nConfigure Webhook in ServiceNow\n-------------------------------\n\n1. Sign in to ServiceNow Security with privileged account.\n2. Go to **Configuration** \\\u003e **Monitoring** \\\u003e **Connections**.\n3. Click add .\n4. Select **Webhook**.\n5. Specify values for the following parameters:\n - **Name** : Provide a descriptive name for the webhook (for example, **Google SecOps**).\n - **URL** : Enter the Google SecOps **ENDPOINT_URL** with **API_KEY** and **SECRET**.\n6. Click **Save** to complete the webhook configuration.\n\nUDM Mapping\n-----------\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
