ServiceNow Security ログを収集する

以下でサポートされています。

概要

このパーサーは、ServiceNow JSON ログからセキュリティ イベントデータを抽出し、関連するフィールドを UDM にマッピングします。ログインや権限の変更などのさまざまなイベントタイプを処理し、プリンシパル / ターゲット ユーザー情報、IP アドレス、ベンダーやプロダクトの詳細などのメタデータを入力します。

始める前に

  • Google SecOps インスタンスがあることを確認します。
  • ServiceNow Security への特権アクセス権があることを確認します。

ServiceNow Security ログを取り込むように Google SecOps でフィードを構成する

  1. [SIEM 設定] > [フィード] に移動します。
  2. [新しく追加] をクリックします。
  3. [フィード名] フィールドに、フィードの名前を入力します(例: ServiceNow Security Logs)。
  4. [ソースタイプ] として [Webhook] を選択します。
  5. [ログタイプ] として [ServiceNow Security] を選択します。
  6. [次へ] をクリックします。
  7. 省略可: 次の入力パラメータの値を指定します。
    • 分割区切り文字: ログ行を区切るために使用される区切り文字(\n など)。
    • アセットの名前空間: アセットの名前空間
    • 取り込みラベル: このフィードのイベントに適用されるラベル。
  8. [次へ] をクリックします。
  9. [Finalize] 画面でフィードの設定を確認し、[送信] をクリックします。
  10. [秘密鍵を生成する] をクリックして、このフィードを認証するためのシークレット キーを生成します。
  11. シークレット キーをコピーして保存します。このシークレット キーを再び表示することはできません。必要に応じて、新しいシークレット キーを再生成できますが、この操作により以前のシークレット キーは無効になります。
  12. [詳細] タブで、[エンドポイント情報] フィールドから、フィードのエンドポイント URL をコピーします。 このエンドポイント URL は、クライアント アプリケーションで指定する必要があります。
  13. [完了] をクリックします。

Webhook フィードの API キーを作成する

  1. [Google Cloud コンソール] > [認証情報] に移動します。

    [認証情報] に移動

  2. [認証情報を作成] をクリックして [API キー] を選択します。

  3. API キーのアクセスを [Google Security Operations API] に制限します。

エンドポイント URL を指定する

  1. クライアント アプリケーションで、Webhook フィードで指定された HTTPS エンドポイント URL を指定します。

  2. 次の形式でカスタム ヘッダーの一部として API キーとシークレット キーを指定して、認証を有効にします。

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    推奨事項: API キーは URL 内ではなくヘッダーとして指定してください。

  3. Webhook クライアントがカスタム ヘッダーをサポートしていない場合は、次の形式のクエリ パラメータを使用して API キーとシークレット キーを指定できます。

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    以下を置き換えます。

    • ENDPOINT_URL: フィードのエンドポイント URL。
    • API_KEY: Google SecOps に対する認証に使用する API キー。
    • SECRET: フィードの認証用に生成したシークレット キー。

ServiceNow で Webhook を構成する

  1. 特権アカウントで ServiceNow Security にログインします。
  2. [構成] > [モニタリング] > [接続] に移動します。
  3. [追加] をクリックします。
  4. [Webhook] を選択します。
  5. 次のパラメータの値を指定します。
    • 名前: Webhook のわかりやすい名前を指定します(例: Google SecOps)。
    • URL: Google SecOps の ENDPOINT_URL を入力し、API_KEYSECRET を指定します。
  6. [保存] をクリックして、Webhook の構成を完了します。

UDM マッピング

ログフィールド UDM マッピング 論理
created_by target.user.userid snc_user が空の場合、target.user.userid にマッピングされます。
イベント metadata.product_event_type 未加工ログのフィールド「event」から直接マッピングされます。
event_created metadata.event_timestamp.seconds date フィルタを使用して、未加工ログのフィールド「event_created」から秒単位に変換されます。
ip_address principal.ip 空でない場合、未加工ログのフィールド「ip_address」から直接マッピングされます。
snc_user target.user.userid 空でない場合、未加工ログのフィールド「snc_user」から直接マッピングされます。
user principal.user.userid 空でないか「null」でない場合、未加工ログのフィールド「user」から直接マッピングされます。
extensions.auth.type event フィールドが「Failed Login」、「SNC Login」、「Admin Login」、「Impersonation」の場合、「MACHINE」に設定します。
metadata.event_type event フィールドが「Failed Login」、「SNC Login」、「Admin Login」、「Impersonation」の場合、「USER_LOGIN」に設定します。event フィールドが「Security Elevation」の場合、「USER_CHANGE_PERMISSIONS」に設定します。
metadata.log_type 「SERVICENOW_SECURITY」にハードコードされています。
metadata.product_name 「SERVICENOW_SECURITY」にハードコードされています。
metadata.vendor_name 「SERVICENOW」にハードコードされています。
principal.user.userid user フィールドが空または「null」の場合、「UNKNOWN」に設定します。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps の専門家から回答を得る。