Security Command Center-Daten an ServiceNow senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen aus dem Security Command Center automatisch an ServiceNow gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

ServiceNow bietet technischen Support für das Management, einschließlich Helpdesk-Funktionen. Das Verwaltungssystem des Unternehmens unterstützt die Automatisierung aufgabenintensiver IT-Prozesse und -Veranstaltungen mithilfe von digitalen Workflows und Serviceportalen für Mitarbeiter.

Sie können Security Command Center-Informationen an ServiceNow IT Server Management (ITSM) oder ServiceNow Security Incident Response (SIR) senden.

Hinweise

In diesem Leitfaden wird davon ausgegangen, dass Sie die ServiceNow-Versionen Rome, San Diego oder Tokio und entweder ServiceNow ITSM oder ServiceNow SIR verwenden. Informationen zum Einstieg in ServiceNow finden Sie unter Erste Schritte.

Sie müssen ServiceNow-Systemadministrator sein, um einige der Aufgaben in dieser Anleitung auszuführen. Für die restlichen Aufgaben müssen Sie weitere Nutzer erstellen, wie unter Nutzer für die App erstellen beschrieben.

Bevor Sie eine Verbindung zu ServiceNow herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto sowohl die IAM-Rollen auf Organisations- als auch auf Projektebene zuweisen, die die Google SCC SIR-Anwendung oder die ITSM-Anwendung von Google SCC benötigt.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Verwenden Sie im selben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, die Seite Dienstkonten in der Google Cloud Console, um ein Dienstkonto zu erstellen. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

  2. Gewähren Sie dem Dienstkonto die folgende Rolle:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)

  3. Kopieren Sie den Namen des Dienstkontos, das Sie gerade erstellt haben.

  4. Wechseln Sie mit der Projektauswahl in der Google Cloud Console zur Organisationsebene.

  5. Öffnen Sie die Seite IAM für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Zugriffssteuerfeld zum Gewähren von Zugriff wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

    2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen im Sicherheitscenter (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)

    3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten ansehen angezeigt.

      Durch Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die Rollen, die auf Projektebene anwendbar sind, werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und Gewähren von Rollen finden Sie in den folgenden Themen:

Geben Sie die Anmeldedaten für ServiceNow an.

Erstellen Sie einen Dienstkontoschlüssel, um IAM-Anmeldedaten für ServiceNow bereitzustellen. Für diese Anleitung benötigen Sie den Dienstkontoschlüssel im JSON-Format. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.

    • Verwenden Sie den folgenden Filter für den Feed für Ihre Ressourcen:

      content-type=resource

    • Verwenden Sie für den Feed für IAM-Richtlinien den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Erstellen Sie eine Zielsenke für die Audit-Logs. Diese Integration verwendet ein Pub/Sub-Thema als Ziel.

Sie benötigen Ihre Organisations-IDs und Pub/Sub-Abonamen, um ServiceNow zu konfigurieren.

App für ServiceNow installieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Gehen Sie zum ServiceNow-Store und suchen Sie nach einer der folgenden Apps:

    • Wenn Sie ServiceNow ITSM ausführen, Google SCC ITSM

    • Wenn Sie ServiceNow SIR ausführen, Google SCC SIR

  2. Klicken Sie auf die App und dann auf Herunterladen.

  3. Geben Sie Ihre ServiceNow-ID-Anmeldedaten ein und fahren Sie mit der Anmeldung fort.

  4. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach System-Apps und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  5. Wählen Sie Nicht installiert aus. Eine Liste mit Anwendungen wird angezeigt.

  6. Wählen Sie die App Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Installieren.

Anwendung für ServiceNow konfigurieren

In diesem Abschnitt erstellen Sie die erforderlichen Nutzer, konfigurieren die Verbindung und richten ServiceNow ein, um Security Command Center-Daten abzurufen.

Nutzer für die App erstellen

Sie müssen zwei Nutzer für die ITSM- oder SIR-App von Google SCC erstellen und ihnen die entsprechenden Rollen zuweisen.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole nach Organisation.

  2. Klicken Sie auf Organisation > Nutzer.

  3. Klicken Sie auf Neu.

  4. Geben Sie die Informationen für das Administratorkonto für die ITSM-App von Google SCC oder die SIR-App von Google SCC ein. Geben Sie beispielsweise im Feld User ID (Nutzer-ID) google_scc_itsm_admin für Google SCC ITSM oder google_scc_sir_admin für Google SCC SIR ein.

  5. Klicken Sie auf Senden.

  6. Wiederholen Sie die Schritte 3 bis 5, um ein Nutzerkonto für die ITSM-App von Google oder die SIR-App von Google SCC zu erstellen. Geben Sie beispielsweise im Feld Nutzer-ID für Google SCC ITSM den Wert google_scc_itsm_user oder für Google SCC SIR den Wert google_scc_sir_user ein.

  7. Klicken Sie in der Liste Nutzer auf den Namen eines der Konten, die Sie gerade erstellt haben.

  8. Klicken Sie unter Rollen auf Bearbeiten.

  9. Fügen Sie die Rollen hinzu, die für das Konto gelten:

    NutzernameRollen
    ITSM-Administrator von Google SCC (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • Itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC-ITSM-Nutzer (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • Itil
    Google SCC SIR-Administrator (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR-Nutzer (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. Klicken Sie auf Speichern.

  11. Wiederholen Sie die Schritte 7 bis 10, um dem anderen Konto Rollen zuzuweisen.

  12. Melden Sie sich mit Ihrem Konto ab und mit den Konten an, die Sie gerade erstellt haben, um Passwörter zu bestätigen.

Authentifizierung mit Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um eine Verbindung zwischen Security Command Center und ServiceNow einzurichten. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Erstellen Sie aus der JSON-Datei, die Ihren Dienstkontoschlüssel enthält, ein Java-Schlüsselspeicherzertifikat. Eine Anleitung finden Sie unter Java KeyStore-Zertifikat erstellen (Rome) oder Java KeyStore-Zertifikat erstellen (Tokio).

  2. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Geführte Einrichtung.

  3. Klicken Sie auf Jetzt starten.

  4. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Get Started (Jetzt starten).

  5. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Konfigurieren.

  6. Geben Sie die folgenden Informationen ein:

    • Name: ein eindeutiger Name für dieses Zertifikat

    • Format: PEM

    • Typ: Java Key Store

  7. Klicken Sie auf das Symbol Anhänge verwalten und fügen Sie das Java-Schlüsselspeicherzertifikat im .jks-Format hinzu, das Sie in Schritt 1 generiert haben.

  8. Klicken Sie auf das Symbol Schließen.

  9. Klicken Sie auf Senden.

  10. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Als abgeschlossen markieren.

  11. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Konfigurieren.

  12. Geben Sie die folgenden Informationen ein:

    • Name: ein eindeutiger Name für diesen Schlüssel

    • Signing Keystore (Schlüsselspeicher signieren): der Zertifikatsname, den Sie in Schritt 7 angegeben haben

    • Signing Algorithm (Signaturalgorithmus): RSA 256

    • Signing Key (Signaturschlüssel): das Passwort für die in Schritt 1 erstellte .jks-Datei.

  13. Klicken Sie auf Senden.

  14. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Als abgeschlossen markieren.

  15. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Konfigurieren.

  16. Geben Sie die folgenden Informationen ein:

    • Name: ein eindeutiger Name für diesen Anbieter

    • Ablaufintervall (Sek.): 60

    • Signing Configuration (Signaturkonfiguration): der Name des JWT-Schlüssels, den Sie in Schritt 13 angegeben haben

  17. Klicken Sie auf Senden.

  18. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Als abgeschlossen markieren.

  19. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Konfigurieren.

  20. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diese Konfiguration.

    • Organization ID: Die ID Ihrer Organisation in Google Cloud

    • Basis-URL: die URL für die Security Command Center API, in der Regel https://securitycenter.googleapis.com

    • Client Email (E-Mail-Adresse des Clients): die E-Mail-Adresse für die IAM-Anmeldedaten

    • JWT-Anbieter: der Name des JWT-Anbieters, den Sie in Schritt 17 angegeben haben

  21. Klicken Sie auf Senden. Die Meldung Authentication Successful (Authentifizierung erfolgreich) wird angezeigt.

  22. Schließen Sie das Fenster Authentifizierungskonfiguration erstellen.

  23. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Als abgeschlossen markieren.

Vorfallmanagement für Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Datenerhebung von Security Command Center zu aktivieren. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Geführte Einrichtung.

  2. Klicken Sie auf Jetzt starten.

  3. Klicken Sie unter Konfiguration von Vorfällen auf Erste Schritte.

  4. Verwenden Sie CI-Suchregeln, um vorhandene Konfigurationselemente (z. B. Assets) zu identifizieren, die Sie Vorfällen hinzufügen möchten, die Sie aus den Security Command Center-Ergebnissen erstellen. Führen Sie Folgendes aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter CI-Suchregel auf Konfigurieren.

    2. Klicken Sie auf Neu.

    3. Geben Sie die folgenden Informationen ein:

      • Name: ein eindeutiger Name für diese Suchregel

      • Suchmethode: entweder Feldabgleich oder Script

      • Reihenfolge: Die Reihenfolge, in der diese Regel ausgewertet wird, im Verhältnis zu anderen Regeln

      • Quellfeld: das Feld in den Ergebnisdaten, das die Eingabe für diese Regel enthält

      • In Tabelle suchen: Bei Übereinstimmung mit einem Feld wird die zu suchende Tabelle angezeigt.

      • Feld suchen: Bei Übereinstimmung mit einem Feld das Feld, das mit dem Quellfeld übereinstimmen soll.

      • Skript: Wenn Sie ein Skript verwenden, geben Sie dieses ein.

      • Aktiv: Auswählen, um diese Suchregel zu aktivieren

    4. Klicken Sie auf Senden.

    5. Wiederholen Sie diesen Schritt nach Bedarf für weitere Konfigurationselemente.

    6. Klicken Sie auf der Aufgabenseite unter CI-Lockup-Regel auf Als abgeschlossen markieren.

  5. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Konfigurieren.

  6. Klicken Sie auf Neu.

  7. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Name Ein eindeutiger Name für diesen Eintrag
    Google SCC-Konfiguration Die Authentifizierungskonfiguration, die Sie unter Authentifizierung mit Security Command Center konfigurieren erstellt haben. Für jede von Ihnen konfigurierte Authentifizierung ist eine Datenaufnahmekonfiguration erforderlich.
    Wiederkehrende Datenerhebung Auswählen, um regelmäßige Datenaufnahme aus Security Command Center zuzulassen
    Intervall(Sekunde) Das Zeitintervall zwischen Datenaktualisierungen aus Security Command Center
    Einmalige Datenerhebung Auswählen, um die Datenaufnahme aus Security Command Center zuzulassen. Bei der einmaligen Datenerhebung werden keine Audit-Logs unterstützt.
    Beginn der Erfassung Das Startdatum der Datenaufnahme aus Security Command Center

    Wählen Sie erst Aktiv aus, wenn Sie die verbleibenden Schritte in diesem Abschnitt ausgeführt haben.

  8. So fügen Sie Ergebnisse hinzu:

    1. Wählen Sie auf dem Tab Ergebnisse die Option Aktiviert aus. Wenn Sie Ergebnisse aktivieren, werden auch Assets und Quellen automatisch aktiviert.

    2. Geben Sie die folgenden Informationen ein:

      Feld Beschreibung
      Abo-ID für Ergebnisse Bei wiederkehrenden Datensammlungen der Name des Pub/Sub-Abos für Ergebnisse
      Google SCC-Ergebnisname Der Name des Felds für den Vorfall, in den der Name des Ergebnisses eingetragen wird (z. B. „Beschreibung“)
      Google SCC-Ergebnisstatus Der Name des Vorfallfelds, in das der Ergebnisstatus eingetragen wird (z. B. „Beschreibung“)
      Google SCC-Ergebnisindikator Der Name des Vorfallsfelds, in den der Ergebnisindikator gefüllt wird (z. B. „Beschreibung“)
      Google SCC-Ergebnisressourcenname Der Name des Vorfallsfelds, in den der Ressourcenname für das Ergebnis eingetragen wird (z. B. „Beschreibung“)
      Google SCC: Externen URI ermitteln Der Name des Vorfallfelds, in den der URI eingefügt wird, der, falls verfügbar, auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis zu finden sind.
      Filter anwenden Verfügbar für die einmalige Datenerhebung; wählen Sie aus, welche Projekte, Status, Schweregrad oder Kategorien einbezogen werden sollen
      Projektname Der Name des Projekts, aus dem Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist
      Status Ob die Ergebnisse aktiv oder inaktiv sind, wenn Filter anwenden ausgewählt ist
      Schweregrad Der Schweregrad der Ergebnisse, wenn Filter anwenden ausgewählt ist
      Kategorie Die Kategorie, aus der Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist

  9. So fügen Sie Assets hinzu:

    1. Wählen Sie auf dem Tab Assets die Option Aktiviert aus.

    2. Geben Sie bei wiederkehrenden Datensammlungen im Feld Asset-Abo-ID den Namen des Pub/Sub-Abos für Assets ein.

  10. Wählen Sie zum Hinzufügen von Sicherheitsquellen auf dem Tab Quellen die Option Aktiviert aus.

  11. So fügen Sie Audit-Logs hinzu:

    1. Wählen Sie auf dem Tab Audit-Logs die Option Aktiviert aus.

    2. Geben Sie im Feld Abo-ID für Audit-Logs für wiederkehrende Datensammlungen den Namen des Pub/Sub-Abos für Audit-Logs ein.

  12. Klicken Sie auf Senden.

  13. Wenn Sie die Meldung erhalten, dass die Konfiguration inaktiv ist, klicken Sie auf OK. Sie aktivieren die Konfiguration später in diesem Verfahren.

  14. Klicken Sie auf der Aufgabenseite unter Aufnahmekonfiguration auf Als abgeschlossen markieren.

  15. Wenn Sie möchten, dass Vorfälle aus Ergebnissen erstellt werden, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien zur Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien zur Erstellung von sicherheitsrelevanten Vorfällen (für Google SCC für SIR) auf Konfigurieren.

    2. Klicken Sie auf den Namen der Vorfallkonfiguration, die Sie erstellt haben.

    3. Scrollen Sie auf der Seite Aufnahmekonfiguration nach unten und klicken Sie auf den Tab Liste der Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von sicherheitsrelevanten Vorfällen (für Google SCC für SIR).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall erstellt wird, basierend auf einem Feld. Beispielsweise können Sie Vorfälle für Ergebnisse erstellen, wenn das Feld Schweregrad auf Hoch festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung im Verhältnis zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie Schritt d bis Schritt f für jede Bedingung, für die Vorfälle erstellt werden sollen.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien zur Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien zur Erstellung von sicherheitsrelevanten Vorfällen (für Google SCC für SIR) auf Als abgeschlossen markieren.

  16. Wenn Sie Vorfälle einer Gruppe zuweisen möchten, gehen Sie so vor:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für Zuweisungsgruppen auf Konfigurieren.

    2. Klicken Sie auf den Namen der Vorfallkonfiguration, die Sie erstellt haben.

    3. Scrollen Sie auf der Seite Aufnahmekonfiguration nach unten und klicken Sie auf den Tab Kriterienliste für Zuweisungsgruppen.

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Zuweisungsgruppe: Die Gruppe, der die Vorfälle zugewiesen werden.

      • Bedingung: die dynamische Bedingung, unter der ein Vorfall zugewiesen wird, basierend auf dem von Ihnen angegebenen Feld. So können Sie beispielsweise Vorfällen für Ergebnisse zuweisen, bei denen das Feld Ergebnisklasse auf Fehlkonfiguration festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung im Verhältnis zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie Schritt d bis Schritt f für jede Gruppe, der Sie Vorfälle zuweisen möchten.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für Aufgabengruppen auf Als erledigt markieren.

  17. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Konfigurieren.

  18. Klicken Sie auf den Namen der Vorfallkonfiguration, die Sie erstellt haben.

  19. Wählen Sie Aktiv aus.

  20. Klicken Sie auf Daten erfassen, um mit der Datenerhebung zu beginnen.

  21. Klicken Sie auf Aktualisieren.

  22. Klicken Sie auf der Aufgabenseite unter Aufnahmekonfiguration aktivieren auf Als abgeschlossen markieren.

Konfiguration überprüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob ServiceNow Daten aus Security Command Center abruft.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Klicken Sie in der ServiceNow-Konsole auf den Tab Alle.

  2. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ingestion Configuration (Aufnahmekonfiguration).

  3. Überprüfen Sie den Status, um zu bestätigen, dass die Daten erhoben werden.

  4. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Assets, Ergebnisse, Quellen oder Audit-Logs. Sie sollten nun Datensätze für alle aktivierten Daten sehen. Wenn Sie die automatische Erstellung von Vorfällen konfiguriert haben, sollten Sie in der Konfiguration Ergebnisse Vorfälle für jedes Ergebnis sehen, das den von Ihnen angegebenen Kriterien entspricht.

Dashboards aufrufen

Mit der ITSM-Anwendung von Google SCC können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets und Audit-Logs.

Sie können auf diese Dashboards in der ServiceNow-Konsole über die Seite Alle > Google SCC ITSM > Dashboards oder die Seite Alle > Google SCC SIR > Dashboards zugreifen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center wie Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie aus allen von Ihnen aktivierten integrierten Diensten kompiliert.

Zum Filtern von Inhalten können Sie den Zeitraum und die Organisations-ID festlegen.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Das Dashboard Assets zeigt ein Diagramm von Google Cloud-Assets an, die nach Asset-Typ kategorisiert sind.

Sie können Asset-Daten nach Organisations-ID filtern.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum und Organisations-ID filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Schweregrad, Status oder Ergebnisklasse filtern. Wenn Sie die automatische Erstellung von Vorfällen einrichten, enthält das Dashboard einen Link zum Vorfall.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Zum Filtern von Inhalten können Sie die Organisations-ID festlegen.

Vorfall manuell erstellen

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  3. Klicken Sie auf das Ergebnis, für das Sie einen Vorfall erstellen möchten.

  4. Klicken Sie auf der Seite mit den Ergebnissen für Google SCC ITSM auf Create Incident (Vorfall erstellen) und für Google SCC SIR auf Create Security Incident (Sicherheitsvorfall erstellen).

Ergebnisstatus ändern

Sie können den Ergebnisstatus von „Aktiv“ zu „Inaktiv“ oder von „Inaktiv“ zu „Aktiv“ ändern.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  2. Klicken Sie auf das Ergebnis, dessen Status Sie ändern möchten.

  3. Klicken Sie auf der Ergebnisseite auf Aktives Ergebnis oder Inaktive Ergebnisse.

  4. Klicken Sie auf OK.

Apps deinstallieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach System-Apps und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  2. Wählen Sie Installiert aus.

  3. Wählen Sie Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Deinstallieren.

Beschränkungen

In diesem Abschnitt werden die Einschränkungen für diese Integration beschrieben.

  • Pro API-Aufruf können maximal 1.000 Assets, Ergebnisse, Quellen oder Audit-Logs abgerufen werden.

  • Lautet die Antwort des Findings API-Aufrufs „429/5XX“, versucht die Anwendung es nach 60 Sekunden und 3 Versuchen. Wenn es immer noch fehlschlägt, schlägt der Vorgang fehl. So ändern Sie die Antwortzeit:

    1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

    2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Systemeigenschaften.

    3. Legen Sie für das Feld Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort aus Google SCC (in Zahlen) eine Zahl größer als 3 fest.

    4. Klicken Sie auf Speichern.

Anwendungslogs aufrufen.

So rufen Sie die Logs für die Anwendung auf:

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Administration > Anwendungsprotokolle.

Fehlerbehebung

Die App kann nicht aus dem ServiceNow Store installiert werden

  1. Prüfen Sie, ob Sie als ServiceNow-Systemadministrator angemeldet sind.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  3. Prüfen Sie, ob die App auf dem Tab Installiert angezeigt wird.

Es kann kein neuer Nutzer erstellt werden

Wenn Sie die Rome-Release-Version verwenden, lesen Sie den Artikel Nutzer erstellen.

Daten können nicht abgerufen werden

Dieses Problem kann auftreten, wenn Ergebnisse, Assets, Quellen oder Audit-Logs abgerufen werden und die Meldung „Datenaufnahme für Profil wird gestartet: PROFILE_NAME“ angezeigt wird.

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Administration > Systemeigenschaften.

  3. Die folgenden Felder dürfen nicht leer sein:

    • Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort aus Google SCC (in Zahlen)

    • Wartezeit bis zum Erreichen des Anfragelimits, bevor eine weitere Anfrage gesendet wird (in Millisekunden)

  4. Wenn die Felder leer sind, legen Sie die Werte so fest:

    • Setzen Sie das Feld Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort aus Google SCC (in Zahlen) auf 3.

    • Legen Sie für Zeitfenster bis zum Senden einer weiteren Anfrage nach Erreichen des Anfragelimits den Wert 60000 fest.

  5. Klicken Sie auf Speichern.

Einem Vorfall können nicht mehr als 250 Arbeitsnotizen oder Aktivitäten hinzugefügt werden

  1. Melden Sie sich in der ServiceNow-Konsole als Systemadministrator an.

  2. Suchen Sie in der Navigationsleiste nach sys_properties.list.

  3. Erstellen Sie im Fenster Systemeigenschaften den Filter Name is glide.history.max_entries.

  4. Klicken Sie auf Ausführen.

  5. Legen Sie im Fenster der Eigenschaften für Wert eine Zahl größer als 250 fest.

  6. Klicken Sie auf Aktualisieren.

Anhang wird nicht unterstützt

  1. Melden Sie sich in der ServiceNow-Konsole als Systemadministrator an.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Sicherheit.

  3. Überprüfen Sie auf der Seite Eigenschaften des Sicherheitssystems die Liste der Erweiterungen in der Liste der Dateiendungen (durch Kommas getrennt), die über das Dialogfeld „Anhang“ an Dokumente angehängt werden können (durch Kommas getrennt). Erweiterungen dürfen keinen Punkt (.) enthalten, z.B. xls, xlsx, doc, docx. Lassen Sie das Feld leer, um alle Erweiterungen zuzulassen.

Maximale Ausführungszeit überschritten

Diese Meldung wird angezeigt, wenn Sie versuchen, auf die Dashboards zuzugreifen.

Eine Lösung finden Sie unter Meldung „Widget abgebrochen – maximale Ausführungszeit überschritten“, die auf der Startseite angezeigt wird.

Nächste Schritte