Recoger registros de seguridad de ServiceNow

Disponible en:

Información general

Este analizador extrae datos de eventos de seguridad de los registros JSON de ServiceNow y asigna los campos pertinentes al UDM. Gestiona varios tipos de eventos, como inicios de sesión y cambios de permisos, y rellena información del usuario principal o de destino, direcciones IP y metadatos, como detalles del proveedor y del producto.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

  • Instancia de Google SecOps.
  • Acceso privilegiado a la seguridad de ServiceNow.

Configurar feeds

Para configurar un feed, sigue estos pasos:

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En la página siguiente, haga clic en Configurar un solo feed.
  4. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Registros de seguridad de ServiceNow).
  5. Selecciona Webhook como Tipo de fuente.
  6. Selecciona Seguridad de ServiceNow como Tipo de registro.
  7. Haz clic en Siguiente.
  8. Opcional: Especifica los valores de los siguientes parámetros de entrada:
    • Delimitador de división: el delimitador que se usa para separar las líneas de registro, como \n.
  9. Haz clic en Siguiente.
  10. Revise la configuración del feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.
  11. Haz clic en Generar clave secreta para generar una clave secreta que autentique este feed.
  12. Copia y guarda la clave secreta. No podrás volver a ver esta clave secreta. Si es necesario, puedes volver a generar una clave secreta, pero esta acción hará que la clave secreta anterior quede obsoleta.
  13. En la pestaña Detalles, copia la URL del endpoint del feed del campo Información del endpoint. Debes especificar esta URL de endpoint en tu aplicación cliente.
  14. Haz clic en Listo.

Crear una clave de API para la feed de webhook

  1. Ve a la consolaGoogle Cloud > Credenciales.

    Ir a Credenciales

  2. Haz clic en Crear credenciales y, a continuación, selecciona Clave de API.

  3. Restringe el acceso de la clave de API a la API Google Security Operations.

Especificar la URL del endpoint

  1. En tu aplicación cliente, especifica la URL del endpoint HTTPS proporcionada en el feed de webhook.

  2. Para habilitar la autenticación, especifica la clave de API y la clave secreta como parte del encabezado personalizado con el siguiente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendación: Especifica la clave de API como encabezado en lugar de hacerlo en la URL.

  3. Si tu cliente de webhook no admite encabezados personalizados, puedes especificar la clave de API y la clave secreta mediante parámetros de consulta con el siguiente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Haz los cambios siguientes:

    • ENDPOINT_URL: URL del endpoint del feed.
    • API_KEY: la clave de API para autenticarte en Google SecOps.
    • SECRET: la clave secreta que has generado para autenticar el feed.

Configurar Webhook en ServiceNow

  1. Inicia sesión en ServiceNow Security con una cuenta con privilegios.
  2. Ve a Configuración > Monitorización > Conexiones.
  3. Haz clic en Añadir .
  4. Selecciona Webhook.
  5. Especifique los valores de los siguientes parámetros:
    • Nombre: proporcione un nombre descriptivo para el webhook (por ejemplo, Google SecOps).
    • URL: introduce el ENDPOINT_URL de Google SecOps con API_KEY y SECRET.
  6. Haz clic en Guardar para completar la configuración del webhook.

Asignación de UDM

Campo de registro Asignación de UDM Lógica
created_by target.user.userid Se asigna a target.user.userid si snc_user está vacío.
evento metadata.product_event_type Se asigna directamente desde el campo de registro sin procesar "event".
event_created metadata.event_timestamp.seconds Se ha convertido a segundos a partir del campo de registro sin procesar "event_created" mediante el filtro date.
ip_address principal.ip Se asigna directamente desde el campo de registro sin procesar "ip_address" si no está vacío.
snc_user target.user.userid Se asigna directamente desde el campo de registro sin procesar "snc_user" si no está vacío.
usuario principal.user.userid Se asigna directamente desde el campo de registro sin procesar "user" si no está vacío o es "null".
extensions.auth.type Asigna el valor "MACHINE" si el campo event es "Failed Login", "SNC Login", "Admin Login" o "Impersonation".
metadata.event_type Se define como "USER_LOGIN" si el campo event es "Failed Login" (Inicio de sesión fallido), "SNC Login" (Inicio de sesión de SNC), "Admin Login" (Inicio de sesión de administrador) o "Impersonation" (Suplantación de identidad). Se define como "USER_CHANGE_PERMISSIONS" si el campo event es "Security Elevation".
metadata.log_type Codificado como "SERVICENOW_SECURITY".
metadata.product_name Codificado como "SERVICENOW_SECURITY".
metadata.vendor_name Codificado como "SERVICENOW".
principal.user.userid Se asigna el valor "UNKNOWN" si el campo user está vacío o es "null".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.