Security Command Center-Daten an ServiceNow senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an ServiceNow gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

ServiceNow bietet technischen Management-Support, einschließlich Helpdesk-Funktionen. Das Managementsystem hilft, arbeitsintensive IT-Prozesse und ‑Ereignisse mithilfe digitaler Workflows und Mitarbeiterserviceportale zu automatisieren.

Unterstützte Versionen

Sie können Security Command Center-Informationen an ServiceNow IT Server Management (ITSM) oder ServiceNow Security Incident Response (SIR) senden.

Security Command Center unterstützt die Integration mit den folgenden ServiceNow-Versionen:

  • Vancouver
  • Utah

Wenn Sie eine frühere Version wie Rome, San Diego oder Tokio verwenden, empfehlen wir Ihnen, zur neuesten unterstützten Version zu migrieren.

Erste Schritte mit ServiceNow

Hinweise

Für einige Aufgaben in diesem Leitfaden müssen Sie ServiceNow-Systemadministrator sein. Für die verbleibenden Aufgaben müssen Sie andere Nutzer erstellen, wie unter Nutzer für die App erstellen beschrieben.

Bevor Sie eine Verbindung zu ServiceNow herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto sowohl die IAM-Rollen auf Organisationsebene als auch auf Projektebene gewähren, die für die Google SCC SIR App oder die Google SCC ITSM App erforderlich sind.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie unter den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Verwenden Sie im selben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)

  3. Kopieren Sie den Namen des Dienstkontos, das Sie gerade erstellt haben.

  4. Verwenden Sie die Projektauswahl in der Google Cloud -Console, um zur Organisationsebene zu wechseln.

  5. Öffnen Sie die Seite IAM für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Feld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

    2. Weisen Sie dem Dienstkonto im Bereich Rollen zuweisen mit dem Feld Rolle die folgenden IAM-Rollen zu:

    3. Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
    4. Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
    5. Organisationsbetrachter (roles/resourcemanager.organizationViewer)
    6. Cloud-Asset-Betrachter (roles/cloudasset.viewer)

    7. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.

      Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und Zuweisen von Rollen finden Sie in den folgenden Themen:

Anmeldedaten für ServiceNow bereitstellen

Um ServiceNow IAM-Anmeldedaten zur Verfügung zu stellen, erstellen Sie einen Dienstkontoschlüssel. Sie benötigen den Dienstkontoschlüssel im JSON-Format, um diese Anleitung abzuschließen. Wenn Sie mehrere Google Cloud Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und weisen Sie ihm die IAM-Rollen zu, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben sind.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.

    • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:

      content-type=resource

    • Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Zielsenke für die Audit-Logs erstellen Bei dieser Integration wird ein Pub/Sub-Thema als Ziel verwendet.

Sie benötigen Ihre Organisations-IDs und Pub/Sub-Abonamen, um ServiceNow zu konfigurieren.

App für ServiceNow installieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Rufen Sie den ServiceNow Store auf und suchen Sie nach einer der folgenden Apps:

    • Wenn Sie ServiceNow ITSM verwenden, Google SCC ITSM

    • Wenn Sie ServiceNow SIR ausführen, Google SCC SIR

  2. Klicken Sie auf die App und dann auf Herunterladen.

  3. Geben Sie Ihre ServiceNow-ID-Anmeldedaten ein und folgen Sie dem Anmeldevorgang.

  4. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach System Applications (Systemanwendungen) und klicken Sie auf All Available Applications > All (Alle verfügbaren Anwendungen > Alle).

  5. Wählen Sie Nicht installiert aus. Eine Liste der Anwendungen wird angezeigt.

  6. Wählen Sie die App Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Installieren.

App für ServiceNow konfigurieren

In diesem Abschnitt erstellen Sie die erforderlichen Nutzer, konfigurieren die Verbindung und richten ServiceNow so ein, dass Security Command Center-Daten abgerufen werden.

Nutzer für die App erstellen

Sie müssen zwei Nutzer für die Google SCC ITSM- oder Google SCC SIR-App erstellen und ihnen die entsprechenden Rollen zuweisen.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole nach Organization.

  2. Klicken Sie auf Organisation > Nutzer.

  3. Klicken Sie auf Neu.

  4. Geben Sie die Informationen für das Administratorkonto für die Google SCC ITSM App oder die Google SCC SIR App ein. Geben Sie beispielsweise im Feld User ID (Nutzer-ID) google_scc_itsm_admin für Google SCC ITSM oder google_scc_sir_admin für Google SCC SIR ein.

  5. Klicken Sie auf Senden.

  6. Wiederholen Sie die Schritte 3 bis 5, um ein Nutzerkonto für die Google SCC ITSM App oder die Google SCC SIR App zu erstellen. Geben Sie beispielsweise im Feld User ID (Nutzer-ID) google_scc_itsm_user für Google SCC ITSM oder google_scc_sir_user für Google SCC SIR ein.

  7. Klicken Sie in der Liste Nutzer auf den Namen eines der Konten, die Sie gerade erstellt haben.

  8. Klicken Sie unter Rollen auf Bearbeiten.

  9. Fügen Sie die Rollen hinzu, die für das Konto gelten:

    NutzernameRollen
    Google SCC ITSM-Administrator (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC ITSM User (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • itil
    Google SCC SIR-Administrator (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR-Nutzer (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. Klicken Sie auf Speichern.

  11. Wiederholen Sie die Schritte 7 bis 10, um dem anderen Konto Rollen zuzuweisen.

  12. Melden Sie sich mit Ihrem Konto ab und mit den gerade erstellten Konten an, um die Passwörter zu bestätigen.

Authentifizierung mit Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Security Command Center und ServiceNow einzurichten. Wenn Sie mehrere Organisationen unterstützen, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Erstellen Sie ein Java Keystore-Zertifikat aus der JSON-Datei, die Ihren Dienstkontoschlüssel enthält. Eine Anleitung finden Sie unter Java-Schlüsselspeicherzertifikat erstellen (Xanadu).

  2. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Guided Setup (Geführte Einrichtung).

  3. Klicken Sie auf Jetzt starten.

  4. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Get Started (Jetzt starten).

  5. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Konfigurieren.

  6. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für dieses Zertifikat.

    • Format: PEM

    • Typ: Java Key Store

  7. Klicken Sie auf das Symbol Anhänge verwalten und fügen Sie das Java-Schlüsselspeicherzertifikat (.jks-Format) hinzu, das Sie in Schritt 1 generiert haben.

  8. Klicken Sie auf das Symbol Schließen.

  9. Klicken Sie auf Senden.

  10. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Als erledigt markieren.

  11. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Konfigurieren.

  12. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Schlüssel.

    • Signing Keystore (Signierschlüssel): der Zertifikatsname, den Sie in Schritt 7 angegeben haben

    • Signaturalgorithmus: RSA 256

    • Signierschlüssel: Das Passwort für die JKS-Datei, die Sie in Schritt 1 erstellt haben.

  13. Klicken Sie auf Senden.

  14. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Als erledigt markieren.

  15. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Konfigurieren.

  16. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Anbieter.

    • Ablaufintervall (Sekunden): 60

    • Signierungskonfiguration: Der JWT-Schlüsselname, den Sie in Schritt 13 angegeben haben

  17. Klicken Sie auf Senden.

  18. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Als erledigt markieren.

  19. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Konfigurieren.

  20. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diese Konfiguration.

    • Organisations-ID: die ID Ihrer Organisation in Google Cloud

    • Basis-URL: Die URL für die Security Command Center API, in der Regel https://securitycenter.googleapis.com

    • Client Email (Client-E-Mail): Die E-Mail-Adresse für die IAM-Anmeldedaten

    • JWT-Anbieter: Der Name des JWT-Anbieters, den Sie in Schritt 17 angegeben haben

  21. Klicken Sie auf Senden. Die Meldung Authentifizierung erfolgreich wird angezeigt.

  22. Schließen Sie das Fenster Authentifizierungskonfiguration erstellen.

  23. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Als erledigt markieren.

Vorfallmanagement für Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Datenerhebung aus Security Command Center zu aktivieren. Wenn Sie mehrere Organisationen unterstützen, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Guided Setup (Geführte Einrichtung).

  2. Klicken Sie auf Jetzt starten.

  3. Klicken Sie unter Incident Configuration (Konfiguration von Vorfällen) auf Get Started (Jetzt starten).

  4. Wenn Sie vorhandene Konfigurationselemente (z. B. Assets) identifizieren möchten, die Sie Vorfällen hinzufügen möchten, die Sie aus den Security Command Center-Ergebnissen erstellen, verwenden Sie CI-Suchregeln. Führen Sie Folgendes aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter CI-Suchregel auf Konfigurieren.

    2. Klicken Sie auf Neu.

    3. Geben Sie die folgenden Informationen ein:

      • Name: Ein eindeutiger Name für diese Suchregel.

      • Suchmethode: entweder Feldabgleich oder Script

      • Reihenfolge: Die Reihenfolge, in der diese Regel im Vergleich zu anderen Regeln ausgewertet wird.

      • Quellfeld: Das Feld in den Ergebnisdaten, das die Eingabe für diese Regel ist.

      • Search On Table (In Tabelle suchen): Wenn ein Feld abgeglichen wird, die Tabelle, in der das Feld gesucht werden soll

      • Feld für Suche: Wenn ein Abgleich mit einem Feld erfolgt, das Feld, das mit dem Quellfeld abgeglichen werden soll

      • Skript: Wenn Sie ein Skript verwenden, geben Sie es ein.

      • Aktiv: Wählen Sie diese Option aus, um die Lookup-Regel zu aktivieren.

    4. Klicken Sie auf Senden.

    5. Wiederholen Sie diesen Schritt nach Bedarf für weitere Konfigurationselemente.

    6. Klicken Sie auf der Seite „Aufgaben“ unter CI Lockup Rule (CI-Sperrregel) auf Mark as Complete (Als erledigt markieren).

  5. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Konfigurieren.

  6. Klicken Sie auf Neu.

  7. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Name Einen eindeutigen Namen für diesen Datensatz
    Google SCC-Konfiguration Die Authentifizierungskonfiguration, die Sie unter Authentifizierung mit Security Command Center konfigurieren erstellt haben. Sie benötigen eine Erfassungs-Konfiguration für jede konfigurierte Authentifizierung.
    Wiederkehrende Datenerhebung Regelmäßige Datenerfassung aus Security Command Center zulassen
    Intervall(Sekunde) Das Zeitintervall zwischen Datenaktualisierungen von Security Command Center
    Einmalige Datenerhebung Wählen Sie diese Option aus, um die Aufnahme von Daten aus Security Command Center zuzulassen. Bei der einmaligen Datenerhebung werden keine Audit-Logs unterstützt.
    Startzeit der Sammlung Das Datum, ab dem Daten aus Security Command Center aufgenommen werden sollen

    Wählen Sie Aktiv erst aus, wenn Sie die übrigen Schritte in diesem Abschnitt ausgeführt haben.

  8. So fügen Sie Ergebnisse hinzu:

    1. Wählen Sie auf dem Tab Ergebnisse die Option Aktiviert aus. Wenn Sie Erkenntnisse aktivieren, werden auch Assets und Quellen automatisch aktiviert.

    2. Geben Sie die folgenden Informationen ein:

      Feld Beschreibung
      Abo-ID für Ergebnisse Bei wiederkehrenden Datenerhebungen: der Name des Pub/Sub-Abos für Ergebnisse
      Name des Google SCC-Ergebnisses Der Name des Vorfallsfelds, das mit dem Namen des Ergebnisses gefüllt werden soll (z. B. „Description“)
      Google SCC-Ergebnisstatus Der Name des Vorfallsfelds, das mit dem Status des Ergebnisses gefüllt werden soll (z. B. „Description“)
      Anzeige für Google SCC-Ergebnis Der Name des Vorfallsfelds, das mit dem Indikator für den Befund gefüllt werden soll, z. B. „Beschreibung“
      Google SCC-Ergebnisressourcenname Der Name des Vorfallsfelds, das mit dem Ressourcennamen für den Befund gefüllt werden soll (z. B. „Description“)
      Externer URI für Google SCC-Ergebnis Der Name des Vorfallfelds, das mit der URI gefüllt werden soll, die, falls verfügbar, auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis zu finden sind.
      Filter anwenden Verfügbar für die einmalige Datenerhebung. Wählen Sie diese Option aus, um anzugeben, welche Projekte, welcher Status, welcher Schweregrad oder welche Kategorien einbezogen werden sollen.
      Projektname Der Name des Projekts, aus dem Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist.
      Bundesland Ob die Ergebnisse aktiv oder inaktiv sind, wenn Filter anwenden ausgewählt ist
      Schweregrad Der Schweregrad der Ergebnisse, wenn Filter anwenden ausgewählt ist
      Kategorie Die Kategorie, aus der Ergebnisse abgerufen werden sollen, wenn Filter anwenden ausgewählt ist

  9. So fügen Sie Assets hinzu:

    1. Wählen Sie auf dem Tab Assets die Option Aktiviert aus.

    2. Geben Sie im Feld Asset-Abo-ID für wiederkehrende Datenerhebungen den Namen des Pub/Sub-Abos für Assets ein.

  10. Wenn Sie Sicherheitsquellen hinzufügen möchten, wählen Sie auf dem Tab Quellen die Option Aktiviert aus.

  11. So fügen Sie Audit-Logs hinzu:

    1. Wählen Sie auf dem Tab Audit-Logs die Option Aktiviert aus.

    2. Geben Sie bei wiederkehrenden Datenerhebungen im Feld Audit Logs Subscription Id (Abo-ID für Audit-Logs) den Namen des Pub/Sub-Abos für Audit-Logs ein.

  12. Klicken Sie auf Senden.

  13. Wenn Sie die Meldung erhalten, dass die Konfiguration inaktiv ist, klicken Sie auf OK. Sie aktivieren die Konfiguration später in diesem Verfahren.

  14. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Als erledigt markieren.

  15. Wenn Sie möchten, dass aus Ergebnissen Vorfälle erstellt werden, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallkonfiguration.

    3. Scrollen Sie auf der Seite Ingestion Configuration (Konfiguration für die Aufnahme) nach unten und klicken Sie auf den Tab Incident Creation Criteria List (Liste der Kriterien für die Erstellung von Vorfällen) (für Google SCC für ITSM) oder Security Incident Creation Criteria (Kriterien für die Erstellung von Sicherheitsvorfällen) (für Google SCC für SIR).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem Feld erstellt wird. Sie können beispielsweise Vorfälle für Ergebnisse erstellen, bei denen das Feld Schweregrad auf Hoch festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung im Verhältnis zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Bedingung, für die Vorfälle erstellt werden sollen.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Als erledigt markieren.

  16. So weisen Sie Vorfälle einer Gruppe zu:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für Zuweisungsgruppe auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallkonfiguration.

    3. Scrollen Sie auf der Seite Ingestion Configuration (Konfiguration für die Aufnahme) nach unten und klicken Sie auf den Tab Assignment Group Criteria List (Liste der Zuweisungsgruppenkriterien).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Zuweisungsgruppe: Die Gruppe, der die Vorfälle zugewiesen werden.

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem von Ihnen angegebenen Feld zugewiesen wird. Sie können beispielsweise Vorfälle für Ergebnisse zuweisen, bei denen das Feld Ergebnisklasse auf Fehlkonfiguration festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung im Verhältnis zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Gruppe, der Sie Vorfälle zuweisen möchten.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Zuweisungsgruppe auf Als erledigt markieren.

  17. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Konfigurieren.

  18. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallkonfiguration.

  19. Wählen Sie Aktiv aus.

  20. Klicken Sie auf Daten erheben, um mit der Datenerhebung zu beginnen.

  21. Klicken Sie auf Aktualisieren.

  22. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Als erledigt markieren.

Konfiguration überprüfen

Führen Sie diese Schritte aus, um zu prüfen, ob ServiceNow Daten aus Security Command Center abruft.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Klicken Sie in der ServiceNow-Konsole auf den Tab All (Alle).

  2. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ingestion Configuration (Konfiguration für die Aufnahme).

  3. Prüfen Sie den Status, um zu bestätigen, dass die Daten erfasst werden.

  4. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Assets (Assets), Findings (Ergebnisse), Sources (Quellen) oder Audit Logs (Prüfprotokolle). Sie sollten sehen, dass jeder aktivierten Datenquelle Datensätze hinzugefügt werden. Wenn Sie die automatische Erstellung von Vorfällen konfiguriert haben, sollten Sie in der Konfiguration Ergebnisse Vorfälle sehen, die sich auf jedes Ergebnis beziehen, das den von Ihnen angegebenen Kriterien entspricht.

Dashboards aufrufen

Mit der Google SCC ITSM App können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets und Audit-Logs.

Sie können in der ServiceNow-Konsole über die Seite All > Google SCC ITSM > Dashboards oder All > Google SCC SIR > Dashboards auf diese Dashboards zugreifen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert, z. B. Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection, sowie alle integrierten Dienste, die Sie aktivieren.

Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird ein Diagramm mit Google CloudAssets angezeigt, die nach Asset-Typ kategorisiert sind.

Sie können Asset-Daten nach Organisations-ID filtern.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum und Organisations-ID filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Schweregrad, Status oder Ergebnisklasse filtern. Wenn Sie die automatische Vorfallerstellung einrichten, enthält das Dashboard einen Link zum Vorfall.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Sie können die Organisations-ID festlegen, um Inhalte zu filtern.

Vorfall manuell erstellen

  1. Melden Sie sich als Administrator für Google SCC ITSM oder Google SCC SIR in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  3. Klicken Sie auf den Befund, für den Sie einen Vorfall erstellen möchten.

  4. Klicken Sie auf der Seite mit den Ergebnissen für Google SCC ITSM auf Vorfall erstellen und für Google SCC SIR auf Sicherheitsvorfall erstellen.

Ergebnisstatus ändern

Sie können den Status eines Ergebnisses von „Aktiv“ in „Inaktiv“ oder von „Inaktiv“ in „Aktiv“ ändern.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Findings (Ergebnisse).

  2. Klicken Sie auf den Befund, dessen Status Sie ändern möchten.

  3. Klicken Sie auf der Seite „Ergebnisse“ auf Aktives Ergebnis oder Inaktives Ergebnis.

  4. Klicken Sie auf OK.

Apps deinstallieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach System Applications (Systemanwendungen) und klicken Sie auf All Available Applications > All (Alle verfügbaren Anwendungen > Alle).

  2. Wählen Sie Installiert aus.

  3. Wählen Sie Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Deinstallieren.

Beschränkungen

In diesem Abschnitt werden die Einschränkungen im Zusammenhang mit dieser Integration beschrieben.

  • Die maximale Anzahl von Assets, Ergebnissen, Quellen oder Audit-Logs, die pro API-Aufruf abgerufen werden können, beträgt 1.000.

  • Wenn die Antwort auf den Findings API-Aufruf einer der folgenden Fehler ist: 429/5XX, wird der Aufruf von der Anwendung nach 60 Sekunden dreimal wiederholt. Wenn der Vorgang weiterhin fehlschlägt, wird er abgebrochen. So ändern Sie die Reaktionszeit:

    1. Melden Sie sich als Administrator für Google SCC ITSM oder Google SCC SIR in der ServiceNow-Konsole an.

    2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf System Properties (Systemeigenschaften).

    3. Legen Sie für das Feld Maximale Anzahl der Wiederholungsversuche für eine ungültige Antwort von Google SCC (in Zahlen) eine Zahl fest, die größer als 3 ist.

    4. Klicken Sie auf Speichern.

Anwendungslogs aufrufen.

So rufen Sie die Logs für die App auf:

  1. Melden Sie sich als Administrator für Google SCC ITSM oder Google SCC SIR in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Verwaltung > Anwendungslogs.

Fehlerbehebung

Die App kann nicht über den ServiceNow Store installiert werden.

  1. Prüfen Sie, ob Sie als ServiceNow-Systemadministrator angemeldet sind.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  3. Prüfen Sie, ob die App auf dem Tab Installiert angezeigt wird.

Neuer Nutzer kann nicht erstellt werden

Wenn Sie die Rome-Version verwenden, finden Sie eine Anleitung unter Nutzer erstellen.

Daten können nicht abgerufen werden

Dieses Problem kann auftreten, wenn Ergebnisse, Assets, Quellen oder Audit-Logs abgerufen werden und die Meldung „Starting data ingestion for profile: PROFILE_NAME“ (Datenaufnahme für Profil wird gestartet: PROFILE_NAME) angezeigt wird.

  1. Melden Sie sich als Administrator für Google SCC ITSM oder Google SCC SIR in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Verwaltung > Systemeigenschaften.

  3. Prüfen Sie, ob die folgenden Felder leer sind:

    • Maximale Anzahl von Wiederholungsversuchen für eine ungültige Antwort von Google SCC (in Zahlen)

    • Zeitfenster, das gewartet werden muss, bevor nach Erreichen des Anfragelimits eine weitere Anfrage gestellt werden kann (in Millisekunden)

  4. Wenn die Felder leer sind, legen Sie die Werte so fest:

    • Setzen Sie das Feld Maximale Anzahl von Wiederholungsversuchen für eine ungültige Antwort von Google SCC (in Zahlen) auf 3.

    • Legen Sie für Zeitfenster zum Warten vor dem Senden einer weiteren Anfrage nach Erreichen des Anfragelimits (in Millisekunden) den Wert 60000 fest.

  5. Klicken Sie auf Speichern.

Einem Vorfall können maximal 250 Arbeitsnotizen oder Aktivitäten hinzugefügt werden

  1. Melden Sie sich als Systemadministrator in der ServiceNow-Konsole an.

  2. Suchen Sie in der Navigationsleiste nach sys_properties.list.

  3. Erstellen Sie im Fenster System Proprties (Systemeigenschaften) einen Filter mit dem Name (Namen) glide.history.max_entries.

  4. Klicken Sie auf Ausführen.

  5. Legen Sie im Eigenschaftenfenster für Wert eine Zahl fest, die größer als 250 ist.

  6. Klicken Sie auf Aktualisieren.

Anhang wird nicht unterstützt

  1. Melden Sie sich als Systemadministrator in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Sicherheit.

  3. Prüfen Sie auf der Seite Security System Properties (Eigenschaften des Sicherheitssystems) die Erweiterungsliste im Dialogfeld List of file extensions (comma-separated) that can be attached to documents via the attachment dialog (Liste der Dateiendungen (durch Kommas getrennt), die über das Dialogfeld „Anhang“ an Dokumente angehängt werden können). Die Erweiterungen dürfen keinen Punkt (.) enthalten, z.B. xls,xlsx,doc,docx. Lassen Sie das Feld leer, um alle Erweiterungen zuzulassen.

Maximale Ausführungszeit überschritten

Sie erhalten diese Meldung, wenn Sie versuchen, auf die Dashboards zuzugreifen.

Informationen zur Fehlerbehebung finden Sie unter Meldung „Widget cancelled - Maximum execution time exceeded“ (Widget abgebrochen – Maximale Ausführungszeit überschritten) wird auf der Startseite angezeigt.

Nächste Schritte