Coletar registros de segurança do ServiceNow

Compatível com:

Visão geral

Esse analisador extrai dados de ocorrência de segurança dos registros JSON do ServiceNow, mapeando campos relevantes para a UDM. Ele processa vários tipos de eventos, como logins e mudanças de permissão, preenchendo informações principais/de usuário de destino, endereços IP e metadados, como detalhes do fornecedor e do produto.

Antes de começar

Verifique se você atende aos seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado ao ServiceNow Security.

Configurar feeds

Há dois pontos de entrada diferentes para configurar feeds na plataforma do Google SecOps:

  • Configurações do SIEM > Feeds
  • Central de conteúdo > Pacotes de conteúdo

Configure feeds em "Configurações do SIEM" > "Feeds".

Para configurar um feed, siga estas etapas:

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na próxima página, clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed, por exemplo, Registros de segurança do ServiceNow.
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione Segurança do ServiceNow como o Tipo de registro.
  7. Clique em Próxima.
  8. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.
  9. Clique em Próxima.
  10. Revise a configuração do feed na tela Finalizar e clique em Enviar.
  11. Clique em Gerar chave secreta para autenticar o feed.
  12. Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.
  13. Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
  14. Clique em Concluído.

Configurar feeds na Central de conteúdo

Especifique valores para os seguintes campos:

  • Delimitador de divisão: o delimitador usado para separar linhas de registro, como \n.

Opções avançadas

  • Nome do feed: um valor pré-preenchido que identifica o feed.
  • Tipo de origem: método usado para coletar registros no Google SecOps.
  • Namespace do recurso: namespace associado ao feed.

  • Rótulos de ingestão: rótulos aplicados a todos os eventos deste feed.

  • Clique em Gerar chave secreta para autenticar o feed.

  • Copie e armazene a chave secreta. Não é possível ver essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas isso torna a anterior obsoleta.

  • Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.

Criar uma chave de API para o feed de webhook

  1. Acesse console doGoogle Cloud > Credenciais.

    Ir para Credenciais

  2. Clique em Criar credenciais e, em seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do endpoint

  1. No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed do webhook.

  2. Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendação: especifique a chave de API como um cabeçalho em vez de no URL.

  3. Se o cliente de webhook não aceitar cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Substitua:

    • ENDPOINT_URL: o URL do endpoint do feed.
    • API_KEY: a chave de API para autenticar no Google SecOps.
    • SECRET: a chave secreta gerada para autenticar o feed.

Configurar o webhook no ServiceNow

  1. Faça login no ServiceNow Security com uma conta privilegiada.
  2. Acesse Configuração > Monitoramento > Conexões.
  3. Clique em Adicionar .
  4. Selecione Webhook.
  5. Especifique valores para os seguintes parâmetros:
    • Nome: informe um nome descritivo para o webhook (por exemplo, Google SecOps).
    • URL: insira o ENDPOINT_URL do Google SecOps com API_KEY e SECRET.
  6. Clique em Salvar para concluir a configuração do webhook.

Mapeamento do UDM

Campo de registro Mapeamento da UDM Lógica
created_by target.user.userid Mapeado para target.user.userid se snc_user estiver vazio.
evento metadata.product_event_type Mapeado diretamente do campo de registro bruto "event".
event_created metadata.event_timestamp.seconds Convertido para segundos do campo de registro bruto "event_created" usando o filtro date.
ip_address principal.ip Mapeado diretamente do campo de registro bruto "ip_address" se não estiver vazio.
snc_user target.user.userid Mapeado diretamente do campo de registro bruto "snc_user" se não estiver vazio.
usuário principal.user.userid Mapeado diretamente do campo de registro bruto "user" se não estiver vazio ou "null".
extensions.auth.type Definido como "MACHINE" se o campo event for "Failed Login", "SNC Login", "Admin Login" ou "Impersonation".
metadata.event_type Defina como "USER_LOGIN" se o campo event for "Failed Login", "SNC Login", "Admin Login" ou "Impersonation". Definido como "USER_CHANGE_PERMISSIONS" se o campo event for "Security Elevation".
metadata.log_type Codificado como "SERVICENOW_SECURITY".
metadata.product_name Codificado como "SERVICENOW_SECURITY".
metadata.vendor_name Codificado como "SERVICENOW".
principal.user.userid Definido como "UNKNOWN" se o campo user estiver vazio ou for "null".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.