このページは Cloud Translation API によって翻訳されました。

ServiceNow Security ログを収集する

以下でサポートされています。

Google SecOps SIEM

概要

このパーサーは、ServiceNow JSON ログからセキュリティイベントデータを抽出し、関連するフィールドを UDM にマッピングします。ログインや権限の変更などのさまざまなイベントタイプを処理し、プリンシパル / ターゲットユーザー情報、IP アドレス、ベンダーやプロダクトの詳細などのメタデータを入力します。

始める前に

次の前提条件を満たしていることを確認します。

Google SecOps インスタンス。
ServiceNow Security への特権アクセス。

フィードを設定する

Google SecOps プラットフォームでフィードを設定するには、次の 2 つのエントリポイントがあります。

[SIEM 設定] > [フィード]
[Content Hub] > [Content Packs]

[SIEM 設定] > [フィード] でフィードを設定する

フィードを構成する手順は次のとおりです。

[SIEM Settings] > [Feeds] に移動します。
[Add New Feed] をクリックします。
次のページで [単一のフィードを設定] をクリックします。
[フィード名] フィールドに、フィードの名前を入力します（例: ServiceNow Security Logs）。
[Source type] として [Webhook] を選択します。
[ログタイプ] として [ServiceNow Security] を選択します。
[次へ] をクリックします。
省略可: 次の入力パラメータの値を指定します。
- Split delimiter: ログ行を区切るために使用される区切り文字（\n など）。
[次へ] をクリックします。
[Finalize] 画面でフィードの設定を確認し、[Submit] をクリックします。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。
秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、その場合以前の秘密鍵は無効になります。
[詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアントアプリケーション内で指定する必要があります。
[完了] をクリックします。

コンテンツハブからフィードを設定する

次のフィールドに値を指定します。

Split delimiter: ログ行を区切るために使用される区切り文字（\n など）。

詳細オプション

フィード名: フィードを識別する事前入力された値。
ソースタイプ: Google SecOps にログを収集するために使用される方法。
アセットの名前空間: フィードに関連付けられた名前空間。
Ingestion Labels: このフィードのすべてのイベントに適用されるラベル。
[秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレットキーを生成します。
秘密鍵をコピーして保存します。この秘密鍵を再び表示することはできません。必要に応じて、新しい秘密鍵を再生成できますが、その場合以前の秘密鍵は無効になります。
[詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。このエンドポイント URL をクライアントアプリケーション内で指定する必要があります。

Webhook フィード用の API キーを作成する

Google Cloud コンソール > [認証情報] に移動します。

[認証情報] に移動
[認証情報を作成] をクリックして [API キー] を選択します。
API キーのアクセスを Google Security Operations API に制限します。

エンドポイント URL を指定する

クライアントアプリケーション内で、Webhook フィードで提供される HTTPS エンドポイント URL を指定します。
次の形式でカスタムヘッダーの一部として API キーと秘密鍵を指定して、認証を有効にします。
```
X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET
```
推奨事項: API キーは URL 内で指定するのではなくヘッダーとして指定してください。
Webhook クライアントがカスタムヘッダーをサポートしていない場合は、次の形式のクエリパラメータを使用して API キーと秘密鍵を指定できます。
```
ENDPOINT_URL?key=API_KEY&secret=SECRET
```
以下を置き換えます。
- ENDPOINT_URL: フィードエンドポイントの URL。
- API_KEY: Google SecOps に対する認証に使用する API キー。
- SECRET: フィードの認証用に生成した秘密鍵。

ServiceNow で Webhook を構成する

特権アカウントで ServiceNow Security にログインします。
[構成] > [モニタリング] > [接続] に移動します。
[追加] をクリックします。
[Webhook] を選択します。
次のパラメータの値を指定します。
- Name: Webhook のわかりやすい名前を指定します（例: Google SecOps）。
- URL: API_KEY と SECRET を含む Google SecOps ENDPOINT_URL を入力します。
[保存] をクリックして、Webhook の構成を完了します。

UDM マッピング

ログフィールド	UDM マッピング	論理
created_by	target.user.userid	`snc_user` が空の場合、`target.user.userid` にマッピングされます。
イベント	metadata.product_event_type	未加工ログのフィールド「event」から直接マッピングされます。
event_created	metadata.event_timestamp.seconds	`date` フィルタを使用して、未加工ログのフィールド「event_created」から秒単位に変換されます。
ip_address	principal.ip	空でない場合、未加工ログのフィールド「ip_address」から直接マッピングされます。
snc_user	target.user.userid	空でない場合、未加工ログのフィールド「snc_user」から直接マッピングされます。
user	principal.user.userid	空でないか「null」でない場合、未加工ログのフィールド「user」から直接マッピングされます。
	extensions.auth.type	`event` フィールドが「Failed Login」、「SNC Login」、「Admin Login」、「Impersonation」の場合、「MACHINE」に設定します。
	metadata.event_type	`event` フィールドが「Failed Login」、「SNC Login」、「Admin Login」、「Impersonation」の場合、「USER_LOGIN」に設定します。`event` フィールドが「Security Elevation」の場合、「USER_CHANGE_PERMISSIONS」に設定します。
	metadata.log_type	「SERVICENOW_SECURITY」にハードコードされています。
	metadata.product_name	「SERVICENOW_SECURITY」にハードコードされています。
	metadata.vendor_name	「SERVICENOW」にハードコードされています。
	principal.user.userid	`user` フィールドが空または「null」の場合、「UNKNOWN」に設定します。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。