Raccogliere i log di sicurezza di ServiceNow
Panoramica
Questo parser estrae i dati sugli eventi di sicurezza dai log JSON di ServiceNow, mappando i campi pertinenti all'UDM. Gestisce vari tipi di eventi, come accessi e modifiche delle autorizzazioni, compilando informazioni sull'utente principale/di destinazione, indirizzi IP e metadati come dettagli su fornitori e prodotti.
Prima di iniziare
- Assicurati di avere un'istanza Google SecOps.
- Assicurati di disporre dell'accesso con privilegi a ServiceNow Security.
Configura un feed in Google SecOps per importare i log di sicurezza di ServiceNow
- Vai a Impostazioni SIEM > Feed.
- Fai clic su Aggiungi nuova.
- Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di sicurezza di ServiceNow).
- Seleziona Webhook come Tipo di origine.
- Seleziona ServiceNow Security come Tipo di log.
- Fai clic su Avanti.
- (Facoltativo) Specifica i valori per i seguenti parametri di input:
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
\n
. - Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
- Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
- Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio
- Fai clic su Avanti.
- Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
- Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
- Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
- Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
- Fai clic su Fine.
Crea una chiave API per il feed webhook
Vai alla console Google Cloud > Credenziali.
Fai clic su Crea credenziali e poi seleziona Chiave API.
Limita l'accesso della chiave API all'API Google Security Operations.
Specifica l'URL dell'endpoint
- Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.
Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Consiglio: specifica la chiave API come intestazione anziché nell'URL.
Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando parametri di ricerca nel seguente formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Sostituisci quanto segue:
ENDPOINT_URL
: l'URL dell'endpoint del feed.API_KEY
: la chiave API per l'autenticazione in Google SecOps.SECRET
: la chiave segreta che hai generato per autenticare il feed.
Configurare il webhook in ServiceNow
- Accedi a ServiceNow Security con un account con privilegi.
- Vai a Configurazione > Monitoraggio > Connessioni.
- Fai clic su Aggiungi .
- Seleziona Webhook.
- Specifica i valori per i seguenti parametri:
- Nome: fornisci un nome descrittivo per il webhook (ad esempio Google SecOps).
- URL: inserisci ENDPOINT_URL di Google SecOps con API_KEY e SECRET.
- Fai clic su Salva per completare la configurazione dell'webhook.
Mappatura UDM
Campo log | Mappatura UDM | Logica |
---|---|---|
created_by | target.user.userid | Mappato a target.user.userid se snc_user è vuoto. |
event | metadata.product_event_type | Mappato direttamente dal campo del log non elaborato "event". |
event_created | metadata.event_timestamp.seconds | Convertito in secondi dal campo del log non elaborato "event_created" utilizzando il filtro date . |
ip_address | principal.ip | Mappato direttamente dal campo del log non elaborato "ip_address", se non vuoto. |
snc_user | target.user.userid | Mappato direttamente dal campo del log non elaborato "snc_user", se non vuoto. |
utente | principal.user.userid | Mappato direttamente dal campo del log non elaborato "user", se non vuoto o "null". |
extensions.auth.type | Imposta su "MACCHINA" se il campo event è "Accesso non riuscito", "Accesso SNC", "Accesso amministratore" o "Furto d'identità". |
|
metadata.event_type | Imposta su "USER_LOGIN" se il campo event è "Accesso non riuscito", "Accesso SNC", "Accesso amministratore" o "Furto d'identità". Imposta su "USER_CHANGE_PERMISSIONS" se il campo event è "Elevazione della sicurezza". |
|
metadata.log_type | Hardcoded su "SERVICENOW_SECURITY". | |
metadata.product_name | Hardcoded su "SERVICENOW_SECURITY". | |
metadata.vendor_name | Hardcoded su "SERVICENOW". | |
principal.user.userid | Impostato su "UNKNOWN" se il campo user è vuoto o "null". |