ServiceNow-Sicherheitsprotokolle erfassen
Übersicht
Dieser Parser extrahiert Sicherheitsereignisdaten aus ServiceNow-JSON-Logs und ordnet relevante Felder dem UDM zu. Es verarbeitet verschiedene Ereignistypen wie Anmeldungen und Berechtigungsänderungen und füllt Informationen zu Haupt-/Zielnutzern, IP-Adressen und Metadaten wie Anbieter- und Produktdetails aus.
Hinweis
- Sie benötigen eine Google SecOps-Instanz.
- Sie benötigen erhöhte Zugriffsrechte für ServiceNow Security.
Feed in Google SecOps für die Aufnahme der ServiceNow-Sicherheitsprotokolle konfigurieren
- Gehen Sie zu SIEM-Einstellungen > Feeds.
- Klicken Sie auf Neu hinzufügen.
- Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. ServiceNow-Sicherheitsprotokolle.
- Wählen Sie als Quelltyp Webhook aus.
- Wählen Sie ServiceNow Security als Protokolltyp aus.
- Klicken Sie auf Weiter.
- Optional: Geben Sie Werte für die folgenden Eingabeparameter an:
- Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B.
\n
. - Asset-Namespace: der Asset-Namespace.
- Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.
- Trennzeichen für die Aufteilung: Das Trennzeichen, mit dem Logzeilen getrennt werden, z. B.
- Klicken Sie auf Weiter.
- Überprüfen Sie die Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.
- Klicken Sie auf Secret-Schlüssel generieren, um einen Secret-Schlüssel zur Authentifizierung dieses Feeds zu generieren.
- Kopieren und speichern Sie den geheimen Schlüssel. Sie können diesen geheimen Schlüssel nicht noch einmal aufrufen. Bei Bedarf können Sie einen neuen Secret-Schlüssel generieren. Dadurch wird der vorherige Secret-Schlüssel jedoch ungültig.
- Kopieren Sie auf dem Tab Details die Feedendpunkt-URL aus dem Feld Endpunktinformationen. Sie müssen diese Endpunkt-URL in Ihrer Clientanwendung angeben.
- Klicken Sie auf Fertig.
API-Schlüssel für den Webhook-Feed erstellen
Rufen Sie die Google Cloud Console > Anmeldedaten auf.
Klicken Sie auf Anmeldedaten erstellen und wählen Sie anschließend API-Schlüssel aus.
Beschränken Sie den API-Schlüsselzugriff auf die Google Security Operations API.
Endpunkt-URL angeben
- Geben Sie in Ihrer Clientanwendung die HTTPS-Endpunkt-URL an, die im Webhook-Feed angegeben ist.
Aktiviere die Authentifizierung, indem du den API-Schlüssel und den geheimen Schlüssel als Teil der benutzerdefinierten Kopfzeile im folgenden Format angibst:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Empfehlung: Geben Sie den API-Schlüssel als Header an, anstatt ihn in der URL anzugeben.
Wenn Ihr Webhook-Client keine benutzerdefinierten Header unterstützt, können Sie den API-Schlüssel und den geheimen Schlüssel mithilfe von Suchparametern im folgenden Format angeben:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Ersetzen Sie Folgendes:
ENDPOINT_URL
: die URL des Feedendpunkts.API_KEY
: Der API-Schlüssel, mit dem Sie sich bei Google SecOps authentifizieren.SECRET
: der geheime Schlüssel, den Sie zur Authentifizierung des Feeds generiert haben.
Webhook in ServiceNow konfigurieren
- Melden Sie sich mit einem Konto mit Berechtigungen in ServiceNow Security an.
- Gehen Sie zu Konfiguration > Überwachung > Verbindungen.
- Klicken Sie auf Hinzufügen .
- Wählen Sie Webhook aus.
- Geben Sie Werte für die folgenden Parameter an:
- Name: Geben Sie einen aussagekräftigen Namen für den Webhook ein, z. B. Google SecOps.
- URL: Geben Sie die ENDPOINT_URL von Google SecOps mit API_KEY und SECRET ein.
- Klicken Sie auf Speichern, um die Webhook-Konfiguration abzuschließen.
UDM-Zuordnung
Logfeld | UDM-Zuordnung | Logik |
---|---|---|
created_by | target.user.userid | Wird target.user.userid zugeordnet, wenn snc_user leer ist. |
event | metadata.product_event_type | Wird direkt aus dem Rohlogs-Feld „event“ zugeordnet. |
event_created | metadata.event_timestamp.seconds | Mit dem Filter date aus dem Rohprotokollfeld „event_created“ in Sekunden umgewandelt. |
ip_address | principal.ip | Wird direkt aus dem Rohlogs-Feld „ip_address“ zugeordnet, sofern dieses nicht leer ist. |
snc_user | target.user.userid | Wird direkt aus dem Rohlogs-Feld „snc_user“ zugeordnet, sofern es nicht leer ist. |
Nutzer | principal.user.userid | Wird direkt aus dem Rohlog-Feld „user“ zugeordnet, sofern es nicht leer oder „null“ ist. |
extensions.auth.type | Legen Sie „MACHINE“ fest, wenn das Feld event „Abgelehnter Anmeldeversuch“, „SNC-Anmeldung“, „Administratoranmeldung“ oder „Identitätsdiebstahl“ lautet. |
|
metadata.event_type | Legen Sie „USER_LOGIN“ fest, wenn das Feld event „Abgelehnter Anmeldeversuch“, „SNC-Anmeldung“, „Administratoranmeldung“ oder „Identitätsdiebstahl“ lautet. Legen Sie „USER_CHANGE_PERMISSIONS“ fest, wenn das Feld event „Sicherheitsaufhebung“ lautet. |
|
metadata.log_type | Hartcodiert auf „SERVICENOW_SECURITY“. | |
metadata.product_name | Hartcodiert auf „SERVICENOW_SECURITY“. | |
metadata.vendor_name | „SERVICENOW“ ist hartcodiert. | |
principal.user.userid | Legen Sie „UNKNOWN“ fest, wenn das Feld user leer oder „null“ ist. |