Coletar registros de segurança do ServiceNow
Visão geral
Esse analisador extrai dados de eventos de segurança dos registros JSON do ServiceNow, mapeando os campos relevantes para o UDM. Ele processa vários tipos de eventos, como logins e mudanças de permissão, preenchendo informações do usuário principal/alvo, endereços IP e metadados, como detalhes do fornecedor e do produto.
Antes de começar
- Verifique se você tem uma instância do Google SecOps.
- Verifique se você tem acesso privilegiado à ServiceNow Security.
Configurar um feed no Google SecOps para ingerir os registros de segurança do ServiceNow
- Acesse Configurações do SIEM > Feeds.
- Clique em Adicionar novo.
- No campo Nome do feed, insira um nome para o feed (por exemplo, Registros de segurança do ServiceNow).
- Selecione Webhook como o Tipo de origem.
- Selecione ServiceNow Security como o Tipo de registro.
- Clique em Próxima.
- Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
\n
. - Namespace de recursos: o namespace de recursos.
- Rótulos de ingestão: o rótulo aplicado aos eventos desse feed.
- Delimitador de divisão: o delimitador usado para separar linhas de registro, como
- Clique em Próxima.
- Revise a configuração do feed na tela Finalizar e clique em Enviar.
- Clique em Gerar chave secreta para gerar uma chave secreta para autenticar esse feed.
- Copie e armazene a chave secreta. Não é possível acessar essa chave secreta novamente. Se necessário, você pode gerar uma nova chave secreta, mas essa ação torna a chave secreta anterior obsoleta.
- Na guia Detalhes, copie o URL do endpoint do feed no campo Informações do endpoint. É necessário especificar esse URL de endpoint no aplicativo cliente.
- Clique em Concluído.
Criar uma chave de API para o feed de webhook
Acesse o console do Google Cloud > Credenciais.
Clique em Criar credenciais e, em seguida, selecione Chave de API.
Restrinja o acesso da chave de API à API Google Security Operations.
Especificar o URL do endpoint
- No aplicativo cliente, especifique o URL do endpoint HTTPS fornecido no feed de webhook.
Ative a autenticação especificando a chave de API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:
X-goog-api-key = API_KEY X-Webhook-Access-Key = SECRET
Recomendação: especifique a chave de API como um cabeçalho em vez de especificar no URL.
Se o cliente do webhook não tiver suporte a cabeçalhos personalizados, especifique a chave de API e a chave secreta usando parâmetros de consulta no seguinte formato:
ENDPOINT_URL?key=API_KEY&secret=SECRET
Substitua:
ENDPOINT_URL
: o URL do endpoint do feed.API_KEY
: a chave de API para autenticação no Google SecOps.SECRET
: a chave secreta que você gerou para autenticar o feed.
Configurar o webhook no ServiceNow
- Faça login no ServiceNow Security com a conta privilegiada.
- Acesse Configuração > Monitoramento > Conexões.
- Clique em adicionar .
- Selecione Webhook.
- Especifique valores para os seguintes parâmetros:
- Nome: informe um nome descritivo para o webhook (por exemplo, Google SecOps).
- URL: insira o ENDPOINT_URL do Google SecOps com API_KEY e SECRET.
- Clique em Salvar para concluir a configuração do webhook.
Mapeamento do UDM
Campo de registro | Mapeamento de UDM | Lógica |
---|---|---|
created_by | target.user.userid | Será mapeado para target.user.userid se snc_user estiver vazio. |
evento | metadata.product_event_type | Mapeado diretamente do campo de registro bruto "event". |
event_created | metadata.event_timestamp.seconds | Convertido em segundos do campo de registro bruto "event_created" usando o filtro date . |
ip_address | principal.ip | Mapeado diretamente do campo de registro bruto "ip_address", se não estiver vazio. |
snc_user | target.user.userid | Mapeado diretamente do campo de registro bruto "snc_user", se não estiver vazio. |
usuário | principal.user.userid | Mapeado diretamente do campo de registro bruto "user" se não estiver vazio ou "null". |
extensions.auth.type | Defina como "MACHINE" se o campo event for "Falha de login", "Login SNC", "Login de administrador" ou "Impersonação". |
|
metadata.event_type | Defina como "USER_LOGIN" se o campo event for "Falha de login", "Login do SNC", "Login de administrador" ou "Impersonação". Defina como "USER_CHANGE_PERMISSIONS" se o campo event for "Elevação de segurança". |
|
metadata.log_type | Fixado em "SERVICENOW_SECURITY". | |
metadata.product_name | Fixado em "SERVICENOW_SECURITY". | |
metadata.vendor_name | Fixado em "SERVICENOW". | |
principal.user.userid | Defina como "UNKNOWN" se o campo user estiver vazio ou "null". |