Recolha registos de segurança do ServiceNow

Compatível com:

Vista geral

Este analisador extrai dados de eventos de segurança dos registos JSON do ServiceNow, mapeando os campos relevantes para o UDM. Processa vários tipos de eventos, como inícios de sessão e alterações de autorizações, preenchendo as informações do utilizador principal/alvo, os endereços IP e os metadados, como os detalhes do fornecedor e do produto.

Antes de começar

Certifique-se de que tem os seguintes pré-requisitos:

  • Instância do Google SecOps.
  • Acesso privilegiado à segurança do ServiceNow.

Configure feeds

Para configurar um feed, siga estes passos:

  1. Aceda a Definições do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Na página seguinte, clique em Configurar um único feed.
  4. No campo Nome do feed, introduza um nome para o feed; por exemplo, Registos de segurança do ServiceNow.
  5. Selecione Webhook como o Tipo de origem.
  6. Selecione ServiceNow Security como o Tipo de registo.
  7. Clicar em Seguinte.
  8. Opcional: especifique valores para os seguintes parâmetros de entrada:
    • Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
  9. Clicar em Seguinte.
  10. Reveja a configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
  11. Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
  12. Copie e armazene a chave secreta. Não pode ver esta chave secreta novamente. Se necessário, pode regenerar uma nova chave secreta, mas esta ação torna a chave secreta anterior obsoleta.
  13. No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
  14. Clique em Concluído.

Crie uma chave da API para o feed de webhook

  1. Aceda à Google Cloud consola > Credenciais.

    Aceder a Credenciais

  2. Clique em Criar credenciais e, de seguida, selecione Chave de API.

  3. Restrinja o acesso da chave de API à API Google Security Operations.

Especifique o URL do ponto final

  1. Na aplicação cliente, especifique o URL do ponto final HTTPS fornecido no feed do webhook.

  2. Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

    X-goog-api-key = API_KEY
X-Webhook-Access-Key = SECRET

    Recomendação: especifique a chave da API como um cabeçalho em vez de a especificar no URL.

  3. Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:

    ENDPOINT_URL?key=API_KEY&secret=SECRET

    Substitua o seguinte:

    • ENDPOINT_URL: o URL do ponto final do feed.
    • API_KEY: a chave da API para autenticar no Google SecOps.
    • SECRET: a chave secreta que gerou para autenticar o feed.

Configure o webhook no ServiceNow

  1. Inicie sessão no ServiceNow Security com uma conta privilegiada.
  2. Aceda a Configuração > Monitorização > Ligações.
  3. Clique em Adicionar .
  4. Selecione Webhook.
  5. Especifique valores para os seguintes parâmetros:
    • Nome: indique um nome descritivo para o webhook (por exemplo, Google SecOps).
    • URL: introduza o ENDPOINT_URL do Google SecOps com API_KEY e SECRET.
  6. Clique em Guardar para concluir a configuração do webhook.

Mapeamento de UDM

Campo de registo Mapeamento do UDM Lógica
created_by target.user.userid Mapeado para target.user.userid se snc_user estiver vazio.
evento metadata.product_event_type Mapeado diretamente a partir do campo de registo não processado "event".
event_created metadata.event_timestamp.seconds Convertido em segundos a partir do campo de registo não processado "event_created" através do filtro date.
ip_address principal.ip Mapeado diretamente a partir do campo de registo não processado "ip_address" se não estiver vazio.
snc_user target.user.userid Mapeado diretamente a partir do campo de registo não processado "snc_user" se não estiver vazio.
utilizador principal.user.userid Mapeado diretamente a partir do campo de registo não processado "user" se não estiver vazio ou for "nulo".
extensions.auth.type Definido como "MACHINE" se o campo event for "Failed Login", "SNC Login", "Admin Login" ou "Impersonation".
metadata.event_type Definido como "USER_LOGIN" se o campo event for "Failed Login", "SNC Login", "Admin Login" ou "Impersonation". Definido como "USER_CHANGE_PERMISSIONS" se o campo event for "Security Elevation".
metadata.log_type Codificado de forma rígida como "SERVICENOW_SECURITY".
metadata.product_name Codificado de forma rígida como "SERVICENOW_SECURITY".
metadata.vendor_name Codificado de forma rígida para "SERVICENOW".
principal.user.userid Definido como "UNKNOWN" se o campo user estiver vazio ou for "nulo".

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.