Raccogliere i log di sicurezza di ServiceNow

Supportato in:

Panoramica

Questo parser estrae i dati degli eventi di sicurezza dai log JSON di ServiceNow, mappando i campi pertinenti a UDM. Gestisce vari tipi di eventi, come accessi e modifiche delle autorizzazioni, inserendo informazioni su utente principale/di destinazione, indirizzi IP e metadati come dettagli di fornitore e prodotto.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi a ServiceNow Security.

Configurare i feed

Esistono due diversi punti di accesso per configurare i feed nella piattaforma Google SecOps:

  • Impostazioni SIEM > Feed
  • Hub dei contenuti > Pacchetti di contenuti

Configura i feed da Impostazioni SIEM > Feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio ServiceNow Security Logs.
  5. Seleziona Webhook come Tipo di origine.
  6. Seleziona ServiceNow Security come Tipo di log.
  7. Fai clic su Avanti.
  8. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
  9. Fai clic su Avanti.
  10. Controlla la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  12. Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.
  14. Fai clic su Fine.

Configurare i feed dall'hub dei contenuti

Specifica i valori per i seguenti campi:

  • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.

Opzioni avanzate

  • Nome feed: un valore precompilato che identifica il feed.
  • Tipo di origine: metodo utilizzato per raccogliere i log in Google SecOps.
  • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.

  • Etichette di importazione: etichette applicate a tutti gli eventi di questo feed.

  • Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.

  • Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.

  • Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nell'applicazione client.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione a Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configura il webhook in ServiceNow

  1. Accedi a ServiceNow Security con un account con privilegi.
  2. Vai a Configurazione > Monitoraggio > Connessioni.
  3. Fai clic su Aggiungi .
  4. Seleziona Webhook.
  5. Specifica i valori per i seguenti parametri:
    • Nome: fornisci un nome descrittivo per il webhook (ad esempio Google SecOps).
    • URL: inserisci ENDPOINT_URL di Google SecOps con API_KEY e SECRET.
  6. Fai clic su Salva per completare la configurazione del webhook.

Mappatura UDM

Campo log Mappatura UDM Logic
created_by target.user.userid Mappato a target.user.userid se snc_user è vuoto.
event metadata.product_event_type Mappato direttamente dal campo log grezzo "event".
event_created metadata.event_timestamp.seconds Convertito in secondi dal campo del log non elaborato "event_created" utilizzando il filtro date.
ip_address principal.ip Mappato direttamente dal campo del log grezzo "ip_address" se non è vuoto.
snc_user target.user.userid Mappato direttamente dal campo del log non elaborato "snc_user" se non è vuoto.
utente principal.user.userid Mappato direttamente dal campo del log non elaborato "user" se non è vuoto o "null".
extensions.auth.type Imposta su "MACHINE" se il campo event è "Failed Login", "SNC Login", "Admin Login" o "Impersonation".
metadata.event_type Imposta "USER_LOGIN" se il campo event è "Failed Login" (Accesso non riuscito), "SNC Login" (Accesso SNC), "Admin Login" (Accesso amministratore) o "Impersonation" (Rappresentazione). Imposta "USER_CHANGE_PERMISSIONS" se il campo event è "Security Elevation".
metadata.log_type Codificato in modo permanente su "SERVICENOW_SECURITY".
metadata.product_name Codificato in modo permanente su "SERVICENOW_SECURITY".
metadata.vendor_name Codificato in modo permanente su "SERVICENOW".
principal.user.userid Impostato su "UNKNOWN" se il campo user è vuoto o "null".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.