Raccogliere i log di sicurezza di ServiceNow

Supportato in:

Panoramica

Questo parser estrae i dati degli eventi di sicurezza dai log JSON di ServiceNow, mappando i campi pertinenti a UDM. Gestisce vari tipi di eventi, come accessi e modifiche delle autorizzazioni, inserendo informazioni su utente principale/di destinazione, indirizzi IP e metadati come dettagli di fornitore e prodotto.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

  • Istanza Google SecOps.
  • Accesso con privilegi a ServiceNow Security.

Configurare i feed

Per configurare un feed:

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo feed.
  3. Nella pagina successiva, fai clic su Configura un singolo feed.
  4. Nel campo Nome feed, inserisci un nome per il feed, ad esempio ServiceNow Security Logs.
  5. Seleziona Webhook come Tipo di origine.
  6. Seleziona ServiceNow Security come Tipo di log.
  7. Fai clic su Avanti.
  8. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di suddivisione: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
  9. Fai clic su Avanti.
  10. Rivedi la configurazione del feed nella schermata Finalizza e poi fai clic su Invia.
  11. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  12. Copia e memorizza la chiave segreta. Non puoi visualizzare di nuovo questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  13. Nella scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni sull'endpoint. Devi specificare questo URL dell'endpoint nella tua applicazione client.
  14. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla consoleGoogle Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso della chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nella tua applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta come parte dell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione a Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configurare il webhook in ServiceNow

  1. Accedi a ServiceNow Security con un account con privilegi.
  2. Vai a Configurazione > Monitoraggio > Connessioni.
  3. Fai clic su Aggiungi .
  4. Seleziona Webhook.
  5. Specifica i valori per i seguenti parametri:
    • Nome: fornisci un nome descrittivo per il webhook (ad esempio Google SecOps).
    • URL: inserisci ENDPOINT_URL di Google SecOps con API_KEY e SECRET.
  6. Fai clic su Salva per completare la configurazione del webhook.

Mappatura UDM

Campo log Mappatura UDM Logic
created_by target.user.userid Mappato a target.user.userid se snc_user è vuoto.
event metadata.product_event_type Mappato direttamente dal campo log grezzo "event".
event_created metadata.event_timestamp.seconds Convertito in secondi dal campo del log non elaborato "event_created" utilizzando il filtro date.
ip_address principal.ip Mappato direttamente dal campo del log non elaborato "ip_address" se non è vuoto.
snc_user target.user.userid Mappato direttamente dal campo del log non elaborato "snc_user" se non è vuoto.
utente principal.user.userid Mappato direttamente dal campo del log non elaborato "user" se non è vuoto o "null".
extensions.auth.type Imposta su "MACHINE" se il campo event è "Failed Login" (Accesso non riuscito), "SNC Login" (Accesso SNC), "Admin Login" (Accesso amministratore) o "Impersonation" (Rappresentazione).
metadata.event_type Imposta "USER_LOGIN" se il campo event è "Failed Login" (Accesso non riuscito), "SNC Login" (Accesso SNC), "Admin Login" (Accesso amministratore) o "Impersonation" (Rappresentazione). Imposta "USER_CHANGE_PERMISSIONS" se il campo event è "Security Elevation".
metadata.log_type Codificato in modo permanente su "SERVICENOW_SECURITY".
metadata.product_name Codificato in modo permanente su "SERVICENOW_SECURITY".
metadata.vendor_name Codificato in modo permanente su "SERVICENOW".
principal.user.userid Impostato su "UNKNOWN" se il campo user è vuoto o "null".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.