Mengumpulkan log Keamanan ServiceNow
Didukung di:
Google SecOps
SIEM
Ringkasan
Parser ini mengekstrak data peristiwa keamanan dari log JSON ServiceNow, yang memetakan kolom yang relevan ke UDM. API ini menangani berbagai jenis peristiwa seperti login dan perubahan izin, mengisi informasi pengguna utama/target, alamat IP, dan metadata seperti detail vendor dan produk.
Sebelum memulai
- Pastikan Anda memiliki instance Google Chronicle.
- Pastikan Anda memiliki akses dengan hak istimewa ke Keamanan ServiceNow.
Mengonfigurasi feed di Google SecOps untuk menyerap log Keamanan ServiceNow
- Buka Setelan SIEM > Feed.
- Klik Tambahkan baru.
- Di kolom Nama feed, masukkan nama untuk feed (misalnya, Log Keamanan ServiceNow).
- Pilih Webhook sebagai Jenis sumber.
- Pilih ServiceNow Security sebagai Log type.
- Klik Berikutnya.
- Opsional: Tentukan nilai untuk parameter input berikut:
- Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti
\n. - Namespace aset: namespace aset.
- Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.
- Pemisah pemisahan: pembatas yang digunakan untuk memisahkan baris log, seperti
- Klik Berikutnya.
- Tinjau konfigurasi feed di layar Finalize, lalu klik Submit.
- Klik Buat Kunci Rahasia untuk membuat kunci rahasia guna mengautentikasi feed ini.
- Salin dan simpan kunci rahasia. Anda tidak dapat melihat kunci rahasia ini lagi. Jika perlu, Anda dapat membuat ulang kunci rahasia baru, tetapi tindakan ini akan membuat kunci rahasia sebelumnya tidak berlaku lagi.
- Dari tab Detail, salin URL endpoint feed dari kolom Endpoint Information. Anda perlu menentukan URL endpoint ini di aplikasi klien.
- Klik Done.
Membuat kunci API untuk feed webhook
Buka Konsol Google Cloud > Kredensial.
Klik Create credentials, lalu pilih API key.
Batasi akses kunci API ke Google Security Operations API.
Menentukan URL endpoint
- Di aplikasi klien, tentukan URL endpoint HTTPS yang diberikan di feed webhook.
Aktifkan autentikasi dengan menentukan kunci API dan kunci secret sebagai bagian dari header kustom dalam format berikut:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRETRekomendasi: Tentukan kunci API sebagai header, bukan menentukannya di URL.
Jika klien webhook Anda tidak mendukung header kustom, Anda dapat menentukan kunci API dan kunci rahasia menggunakan parameter kueri dalam format berikut:
ENDPOINT_URL?key=API_KEY&secret=SECRETGanti kode berikut:
ENDPOINT_URL: URL endpoint feed.API_KEY: kunci API untuk mengautentikasi ke Google SecOps.SECRET: kunci rahasia yang Anda buat untuk mengautentikasi feed.
Mengonfigurasi Webhook di ServiceNow
- Login ke ServiceNow Security dengan akun dengan hak istimewa.
- Buka Konfigurasi > Pemantauan > Koneksi.
- Klik add .
- Pilih Webhook.
- Tentukan nilai untuk parameter berikut:
- Nama: Berikan nama deskriptif untuk webhook (misalnya, Google SecOps).
- URL: Masukkan ENDPOINT_URL Google SecOps dengan API_KEY dan SECRET.
- Klik Simpan untuk menyelesaikan konfigurasi webhook.
Pemetaan UDM
| Kolom log | Pemetaan UDM | Logika |
|---|---|---|
| created_by | target.user.userid | Dipetakan ke target.user.userid jika snc_user kosong. |
| event | metadata.product_event_type | Dipetakan langsung dari kolom log mentah "peristiwa". |
| event_created | metadata.event_timestamp.seconds | Dikonversi menjadi detik dari kolom log mentah "event_created" menggunakan filter date. |
| ip_address | principal.ip | Dipetakan langsung dari kolom log mentah "ip_address" jika tidak kosong. |
| snc_user | target.user.userid | Dipetakan langsung dari kolom log mentah "snc_user" jika tidak kosong. |
| pengguna | principal.user.userid | Dipetakan langsung dari kolom log mentah "user" jika tidak kosong atau "null". |
| extensions.auth.type | Tetapkan ke "MACHINE" jika kolom event adalah "Failed Login", "SNC Login", "Admin Login", atau "Impersonation". |
|
| metadata.event_type | Tetapkan ke "USER_LOGIN" jika kolom event adalah "Login Gagal", "Login SNC", "Login Admin", atau "Peniruan Identitas". Tetapkan ke "USER_CHANGE_PERMISSIONS" jika kolom event adalah "Security Elevation". |
|
| metadata.log_type | Di-hardcode ke "SERVICENOW_SECURITY". | |
| metadata.product_name | Di-hardcode ke "SERVICENOW_SECURITY". | |
| metadata.vendor_name | Di-hardcode ke "SERVICENOW". | |
| principal.user.userid | Tetapkan ke "UNKNOWN" jika kolom user kosong atau "null". |