Raccogliere i log di sicurezza di ServiceNow

Supportato in:

Panoramica

Questo parser estrae i dati sugli eventi di sicurezza dai log JSON di ServiceNow, mappando i campi pertinenti all'UDM. Gestisce vari tipi di eventi, come accessi e modifiche delle autorizzazioni, compilando informazioni sull'utente principale/di destinazione, indirizzi IP e metadati come dettagli su fornitori e prodotti.

Prima di iniziare

  • Assicurati di avere un'istanza Google SecOps.
  • Assicurati di disporre dell'accesso con privilegi a ServiceNow Security.

Configura un feed in Google SecOps per importare i log di sicurezza di ServiceNow

  1. Vai a Impostazioni SIEM > Feed.
  2. Fai clic su Aggiungi nuovo.
  3. Nel campo Nome feed, inserisci un nome per il feed (ad esempio Log di sicurezza di ServiceNow).
  4. Seleziona Webhook come Tipo di origine.
  5. Seleziona ServiceNow Security come Tipo di log.
  6. Fai clic su Avanti.
  7. (Facoltativo) Specifica i valori per i seguenti parametri di input:
    • Delimitatore di split: il delimitatore utilizzato per separare le righe di log, ad esempio \n.
    • Spazio dei nomi degli asset: lo spazio dei nomi degli asset.
    • Etichette di importazione: l'etichetta applicata agli eventi di questo feed.
  8. Fai clic su Avanti.
  9. Controlla la configurazione del feed nella schermata Concludi e poi fai clic su Invia.
  10. Fai clic su Genera chiave segreta per generare una chiave segreta per autenticare questo feed.
  11. Copia e memorizza la chiave segreta. Non potrai più visualizzare questa chiave segreta. Se necessario, puoi rigenerare una nuova chiave segreta, ma questa azione rende obsoleta la chiave segreta precedente.
  12. Dalla scheda Dettagli, copia l'URL dell'endpoint del feed dal campo Informazioni endpoint. Devi specificare questo URL endpoint nell'applicazione client.
  13. Fai clic su Fine.

Crea una chiave API per il feed webhook

  1. Vai alla console Google Cloud > Credenziali.

    Vai a credenziali

  2. Fai clic su Crea credenziali e poi seleziona Chiave API.

  3. Limita l'accesso alla chiave API all'API Google Security Operations.

Specifica l'URL dell'endpoint

  1. Nell'applicazione client, specifica l'URL dell'endpoint HTTPS fornito nel feed webhook.

  2. Attiva l'autenticazione specificando la chiave API e la chiave segreta nell'intestazione personalizzata nel seguente formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Consiglio: specifica la chiave API come intestazione anziché nell'URL.

  3. Se il client webhook non supporta le intestazioni personalizzate, puoi specificare la chiave API e la chiave segreta utilizzando i parametri di query nel seguente formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Sostituisci quanto segue:

    • ENDPOINT_URL: l'URL dell'endpoint del feed.
    • API_KEY: la chiave API per l'autenticazione in Google SecOps.
    • SECRET: la chiave segreta che hai generato per autenticare il feed.

Configurare il webhook in ServiceNow

  1. Accedi a ServiceNow Security con un account con privilegi.
  2. Vai a Configurazione > Monitoraggio > Connessioni.
  3. Fai clic su Aggiungi .
  4. Seleziona Webhook.
  5. Specifica i valori per i seguenti parametri:
    • Nome: fornisci un nome descrittivo per il webhook (ad esempio Google SecOps).
    • URL: inserisci ENDPOINT_URL di Google SecOps con API_KEY e SECRET.
  6. Fai clic su Salva per completare la configurazione dell'webhook.

Mappatura UDM

Campo log Mappatura UDM Logica
created_by target.user.userid Mappato a target.user.userid se snc_user è vuoto.
event metadata.product_event_type Mappato direttamente dal campo del log non elaborato "event".
event_created metadata.event_timestamp.seconds Convertito in secondi dal campo del log non elaborato "event_created" utilizzando il filtro date.
ip_address principal.ip Mappato direttamente dal campo del log non elaborato "ip_address", se non vuoto.
snc_user target.user.userid Mappato direttamente dal campo del log non elaborato "snc_user", se non vuoto.
utente principal.user.userid Mappato direttamente dal campo del log non elaborato "user", se non vuoto o "null".
extensions.auth.type Imposta su "MACCHINA" se il campo event è "Accesso non riuscito", "Accesso SNC", "Accesso amministratore" o "Furto d'identità".
metadata.event_type Imposta su "USER_LOGIN" se il campo event è "Accesso non riuscito", "Accesso SNC", "Accesso amministratore" o "Furto d'identità". Imposta su "USER_CHANGE_PERMISSIONS" se il campo event è "Elevazione della sicurezza".
metadata.log_type Hardcoded su "SERVICENOW_SECURITY".
metadata.product_name Hardcoded su "SERVICENOW_SECURITY".
metadata.vendor_name Hardcoded su "SERVICENOW".
principal.user.userid Impostato su "UNKNOWN" se il campo user è vuoto o "null".

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.