ServiceNow-Sicherheitsprotokolle erfassen

Unterstützt in:

Übersicht

Dieser Parser extrahiert Sicherheitsereignisdaten aus ServiceNow-JSON-Logs und ordnet relevante Felder dem UDM zu. Es verarbeitet verschiedene Ereignistypen wie Anmeldungen und Berechtigungsänderungen und füllt Informationen zu Haupt-/Zielnutzern, IP-Adressen und Metadaten wie Anbieter- und Produktdetails aus.

Hinweis

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen erhöhte Zugriffsrechte für ServiceNow Security.

Feed in Google SecOps für die Aufnahme der ServiceNow-Sicherheitsprotokolle konfigurieren

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ServiceNow-Sicherheitsprotokolle.
  4. Wählen Sie als Quelltyp Webhook aus.
  5. Wählen Sie ServiceNow Security als Protokolltyp aus.
  6. Klicken Sie auf Weiter.
  7. Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
    • Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B. \n.
    • Asset-Namespace: der Asset-Namespace.
    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
  8. Klicken Sie auf Weiter.
  9. Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
  10. Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
  11. Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
  12. Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
  13. Klicken Sie auf Fertig.

API-Schlüssel für den Webhook-Feed erstellen

  1. Rufen Sie die Google Cloud Console > Anmeldedaten auf.

    Zu den Anmeldedaten

  2. Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.

  3. Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.

Endpunkt-URL angeben

  1. Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.
  2. Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:

    X-goog-api-key = API_KEY
    X-Webhook-Access-Key = SECRET
    

    Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.

  3. Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:

    ENDPOINT_URL?key=API_KEY&secret=SECRET
    

    Ersetzen Sie Folgendes:

    • ENDPOINT_URL: die URL des Feedendpunkts.
    • API_KEY: Der API-Schlüssel, mit dem Sie sich bei Google SecOps authentifizieren.
    • SECRET: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.

Webhook in ServiceNow konfigurieren

  1. Melden Sie sich mit einem Konto mit Berechtigungen in ServiceNow Security an.
  2. Gehen Sie zu Konfiguration > Überwachung > Verbindungen.
  3. Klicken Sie auf Hinzufügen .
  4. Wählen Sie Webhook aus.
  5. Geben Sie Werte für die folgenden Parameter an:
    • Name: Geben Sie einen aussagekräftigen Namen für den Webhook ein, z. B. Google SecOps.
    • URL: Geben Sie die ENDPOINT_URL von Google SecOps mit API_KEY und SECRET ein.
  6. Klicken Sie auf Speichern, um die Webhook-Konfiguration abzuschließen.

UDM-Zuordnung

Logfeld UDM-Zuordnung Logik
created_by target.user.userid Wird target.user.userid zugeordnet, wenn snc_user leer ist.
event metadata.product_event_type Wird direkt aus dem Rohlogs-Feld „event“ zugeordnet.
event_created metadata.event_timestamp.seconds Mit dem Filter date aus dem Rohprotokollfeld „event_created“ in Sekunden umgewandelt.
ip_address principal.ip Wird direkt aus dem Rohlogs-Feld „ip_address“ zugeordnet, sofern dieses nicht leer ist.
snc_user target.user.userid Wird direkt aus dem Rohlogs-Feld „snc_user“ zugeordnet, sofern es nicht leer ist.
Nutzer principal.user.userid Wird direkt aus dem Rohlog-Feld „user“ zugeordnet, sofern es nicht leer oder „null“ ist.
extensions.auth.type Legen Sie „MACHINE“ fest, wenn das Feld event „Abgelehnter Anmeldeversuch“, „SNC-Anmeldung“, „Administratoranmeldung“ oder „Identitätsdiebstahl“ lautet.
metadata.event_type Legen Sie „USER_LOGIN“ fest, wenn das Feld event „Abgelehnter Anmeldeversuch“, „SNC-Anmeldung“, „Administratoranmeldung“ oder „Identitätsdiebstahl“ lautet. Legen Sie „USER_CHANGE_PERMISSIONS“ fest, wenn das Feld event „Sicherheitsaufhebung“ lautet.
metadata.log_type Hartcodiert auf „SERVICENOW_SECURITY“.
metadata.product_name Hartcodiert auf „SERVICENOW_SECURITY“.
metadata.vendor_name „SERVICENOW“ ist hartcodiert.
principal.user.userid Legen Sie „UNKNOWN“ fest, wenn das Feld user leer oder „null“ ist.