Security Command Center-Daten an ServiceNow senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an ServiceNow gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

ServiceNow bietet Support für das technische Management, einschließlich Helpdesk-Funktionen. Das Verwaltungssystem des Unternehmens hilft bei der Automatisierung aufgabenintensiver IT-Prozesse und -Ereignisse mithilfe von digitalen Workflows und Serviceportalen für Mitarbeiter.

Sie können Security Command Center-Informationen an ServiceNow IT Server Management (ITSM) oder ServiceNow Security Incident Response (SIR) senden.

Hinweise

In diesem Handbuch wird davon ausgegangen, dass Sie die ServiceNow-Versionen mit dem Namen Rome, San Diego oder Tokio und entweder ServiceNow ITSM oder ServiceNow SIR verwenden. Informationen zu den ersten Schritten mit ServiceNow finden Sie unter Erste Schritte.

Sie müssen ein ServiceNow-Systemadministrator sein, um einige der Aufgaben in dieser Anleitung auszuführen. Für die verbleibenden Aufgaben müssen Sie weitere Nutzer erstellen, wie unter Nutzer für die App erstellen beschrieben.

Bevor Sie eine Verbindung zu ServiceNow herstellen, müssen Sie ein Dienstkonto für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene gewähren, die die Anwendung Google SCC SIR oder die Google SCC ITSM-Anwendung benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Informationen zu anderen Methoden finden Sie über die Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in dem Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung finden Sie unter Dienstkonten erstellen und verwalten.
  2. Gewähren Sie dem Dienstkonto die folgende Rolle:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)
  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Wechseln Sie mithilfe der Projektauswahl in der Google Cloud Console zur Organisationsebene.

  5. Öffnen Sie die IAM-Seite für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.
    2. Verwenden Sie im Abschnitt Rollen zuweisen das Feld Rolle, um dem Dienstkonto die folgenden IAM-Rollen zuzuweisen:

      • Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
      • Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
      • Organisationsbetrachter (roles/resourcemanager.organizationViewer)
      • Cloud-Asset-Betrachter (roles/cloudasset.viewer)
    3. Klicken Sie auf Speichern. Das Sicherheitskonto wird auf dem Tab Berechtigungen der Seite IAM unter Nach Hauptkonten ansehen angezeigt.

      Durch die Übernahme wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation und die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgelistet.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie in den folgenden Themen:

Geben Sie die Anmeldedaten für ServiceNow an

Erstellen Sie einen Dienstkontoschlüssel, um ServiceNow IAM-Anmeldedaten bereitzustellen. Für diese Anleitung benötigen Sie den Dienstkontoschlüssel im JSON-Format. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen zuweisen beschrieben werden.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.
  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.
    • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:

      content-type=resource

    • Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Erstellen Sie eine Zielsenke für die Audit-Logs. Diese Integration verwendet ein Pub/Sub-Thema als Ziel.

Zum Konfigurieren von ServiceNow benötigen Sie Ihre Organisations-IDs und die Namen Ihrer Pub/Sub-Abos.

App für ServiceNow installieren

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Rufen Sie den ServiceNow-Speicher auf und suchen Sie nach einer der folgenden Apps:

    • Wenn Sie ServiceNow ITSM ausführen, Google SCC ITSM

    • Wenn Sie ServiceNow SIR ausführen, Google SCC SIR

  2. Klicken Sie auf die App und dann auf Herunterladen.

  3. Geben Sie Ihre ServiceNow-ID-Anmeldedaten ein und fahren Sie mit der Anmeldung fort.

  4. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  5. Wählen Sie Nicht installiert aus. Eine Liste mit Anwendungen wird angezeigt.

  6. Wählen Sie die App Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Installieren.

Anwendung für ServiceNow konfigurieren

In diesem Abschnitt erstellen Sie die erforderlichen Nutzer, konfigurieren die Verbindung und richten ServiceNow ein, um Security Command Center-Daten abzurufen.

Nutzer für die App erstellen

Sie müssen zwei Nutzer für die Anwendung „Google SCC ITSM“ oder „Google SCC SIR“ erstellen und ihnen die entsprechenden Rollen zuweisen.

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole nach Organization (Organisation).

  2. Klicken Sie auf Organisation > Nutzer.

  3. Klicken Sie auf Neu.

  4. Geben Sie die Informationen für das Administratorkonto für die App „Google SCC ITSM“ oder „Google SCC SIR“ ein. Geben Sie beispielsweise im Feld Nutzer-ID google_scc_itsm_admin für „Google SCC ITSM“ oder google_scc_sir_admin für „Google SCC SIR“ ein.

  5. Klicken Sie auf Senden.

  6. Wiederholen Sie die Schritte 3 bis 5, um ein Nutzerkonto für die Google SCC ITSM App oder die Google SCC SIR App zu erstellen. Geben Sie beispielsweise im Feld Nutzer-ID google_scc_itsm_user für Google SCC ITSM oder google_scc_sir_user für Google SCC SIR ein.

  7. Klicken Sie in der Liste Nutzer auf den Namen eines der gerade erstellten Konten.

  8. Klicken Sie unter Rollen auf Bearbeiten.

  9. Fügen Sie die Rollen hinzu, die für das Konto gelten:

    NutzernameRollen
    ITSM-Administrator von Google SCC (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • Itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    ITSM-Nutzer von Google SCC (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • Itil
    Google SCC SIR-Administrator (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC-SIR-Nutzer (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst
  10. Klicken Sie auf Speichern.

  11. Wiederholen Sie die Schritte 7 bis 10, um dem anderen Konto Rollen zuzuweisen.

  12. Melden Sie sich von Ihrem Konto ab und mit den Konten an, die Sie gerade erstellt haben, um Passwörter zu überprüfen.

Authentifizierung mit Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Security Command Center und ServiceNow einzurichten. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Erstellen Sie ein Java-Schlüsselspeicherzertifikat aus der JSON-Datei, die Ihren Dienstkontoschlüssel enthält. Eine Anleitung finden Sie unter Java KeyStore-Zertifikat erstellen (Rom) oder Java KeyStore-Zertifikat erstellen (Tokio).

  2. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Interaktive Einrichtung.

  3. Klicken Sie auf Jetzt starten.

  4. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Get Started (Jetzt starten).

  5. Klicken Sie auf der Aufgabenseite unter X.509-Zertifikat erstellen auf Konfigurieren.

  6. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für dieses Zertifikat.

    • Format: PEM

    • Type (Typ): Java Key Store

  7. Klicken Sie auf das Symbol Anhänge verwalten und fügen Sie das in Schritt 1 erstellte Java Keystore-Zertifikat (.jks-Format) hinzu.

  8. Klicken Sie auf das Symbol Schließen.

  9. Klicken Sie auf Senden.

  10. Klicken Sie auf der Aufgabenseite unter X.509-Zertifikat erstellen auf Als abgeschlossen markieren.

  11. Klicken Sie auf der Aufgabenseite unter Create JWT Key (JWT erstellen) auf Configure (Konfigurieren).

  12. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Schlüssel.

    • Signing Keystore (Signatur-Schlüsselspeicher): der Zertifikatsname, den Sie in Schritt 7 angegeben haben

    • Signaturalgorithmus: RSA 256

    • Signing Key (Signaturschlüssel): das Passwort für die in Schritt 1 erstellte JKS-Datei

  13. Klicken Sie auf Senden.

  14. Klicken Sie auf der Aufgabenseite unter Create JWT Key (JWT erstellen) auf Mark as Complete (Als abgeschlossen markieren).

  15. Klicken Sie auf der Aufgabenseite unter Create JWT Provider (JWT-Anbieter erstellen) auf Configure (Konfigurieren).

  16. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Anbieter.

    • Ablaufzeitintervall (Sek.): 60

    • Signing Configuration (Signierkonfiguration): der Name des JWT-Schlüssels, den Sie in Schritt 13 angegeben haben

  17. Klicken Sie auf Senden.

  18. Klicken Sie auf der Aufgabenseite unter Create JWT Provider (JWT-Anbieter erstellen) auf Mark as Complete (Als abgeschlossen markieren).

  19. Klicken Sie auf der Aufgabenseite unter Authentifizierungskonfiguration erstellen auf Konfigurieren.

  20. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diese Konfiguration.

    • Organization ID (Organisations-ID): die ID für Ihre Organisation in Google Cloud

    • Basis-URL: die URL für die Security Command Center API, in der Regel https://securitycenter.googleapis.com

    • Client Email (E-Mail-Adresse des Kunden): die E-Mail-Adresse für die IAM-Anmeldedaten

    • JWT-Anbieter: der Name des JWT-Anbieters, den Sie in Schritt 17 angegeben haben

  21. Klicken Sie auf Senden. Die Meldung Authentifizierung erfolgreich wird angezeigt.

  22. Schließen Sie das Fenster Authentifizierungskonfiguration erstellen.

  23. Klicken Sie auf der Aufgabenseite unter Authentifizierungskonfiguration erstellen auf Als abgeschlossen markieren.

Vorfallmanagement für Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Datenerhebung über Security Command Center zu aktivieren. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Interaktive Einrichtung.

  2. Klicken Sie auf Jetzt starten.

  3. Klicken Sie unter Incident Configuration (Vorfallkonfiguration) auf Get Started (Jetzt starten).

  4. Verwenden Sie CI-Lookup-Regeln, um vorhandene Konfigurationselemente (z. B. Assets) zu identifizieren, die Sie Vorfällen hinzufügen möchten, die Sie aus den Security Command Center-Ergebnissen erstellen. Führen Sie Folgendes aus:

    1. Klicken Sie auf der Aufgabenseite unter CI-Lookup-Regel auf Konfigurieren.

    2. Klicken Sie auf Neu.

    3. Geben Sie die folgenden Informationen ein:

      • Name: Ein eindeutiger Name für diese Suchregel.

      • Lookup-Methode: entweder Feldabgleich oder Script

      • Reihenfolge: die Reihenfolge, in der diese Regel im Verhältnis zu anderen Regeln ausgewertet wird

      • Quellfeld: das Feld in den Ergebnisdaten, das die Eingabe für diese Regel ist

      • Search On Table: bei einem Abgleich mit einem Feld die Tabelle zum Auffinden des Felds

      • Search On Field: bei Abgleich mit einem Feld das Feld, das mit dem Quellfeld abgeglichen wird

      • Skript: Falls Sie ein Skript verwenden, geben Sie dieses ein.

      • Aktiv: Wählen Sie diese Option aus, um diese Suchregel zu aktivieren.

    4. Klicken Sie auf Senden.

    5. Wiederholen Sie diesen Schritt nach Bedarf für weitere Konfigurationselemente.

    6. Klicken Sie auf der Aufgabenseite unter CI-Lockup-Regel auf Als abgeschlossen markieren.

  5. Klicken Sie auf der Aufgabenseite unter Konfiguration der Datenaufnahme auf Konfigurieren.

  6. Klicken Sie auf Neu.

  7. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Name Eindeutiger Name für diesen Eintrag
    Konfiguration von Google SCC Die Authentifizierungskonfiguration, die Sie unter Authentifizierung mit Security Command Center konfigurieren erstellt haben. Für jede von Ihnen konfigurierte Authentifizierung ist eine Aufnahmekonfiguration erforderlich.
    Regelmäßige Datenerhebung Auswählen, um die normale Datenaufnahme aus Security Command Center zuzulassen
    Intervall(Sekunde) Das Zeitintervall zwischen Datenaktualisierungen von Security Command Center
    Einmalige Datenerfassung Wählen Sie diese Option aus, um die Datenaufnahme aus Security Command Center zuzulassen. Bei der einmaligen Datenerfassung werden keine Audit-Logs unterstützt.
    Beginn der Sammlung Das Datum für den Beginn der Datenaufnahme aus Security Command Center

    Wählen Sie erst dann Aktiv aus, wenn Sie die verbleibenden Schritte in diesem Abschnitt ausgeführt haben.

  8. Führen Sie die folgenden Schritte aus, um Ergebnisse hinzuzufügen:

    1. Wählen Sie auf dem Tab Ergebnisse die Option Aktiviert aus. Wenn Sie Ergebnisse aktivieren, werden auch Assets und Quellen automatisch aktiviert.

    2. Geben Sie die folgenden Informationen ein:

      Feld Beschreibung
      Abo-ID für Ergebnisse Bei wiederkehrenden Datensammlungen der Name des Pub/Sub-Abos für Ergebnisse
      Ergebnisname des Google SCC Der Name des Felds für den Vorfall, das mit dem Namen des Ergebnisses ausgefüllt werden soll (z. B. Beschreibung)
      Ergebnisstatus von Google SCC Der Name des Felds für den Vorfall, das mit dem Ergebnisstatus ausgefüllt werden soll (z. B. Beschreibung)
      Ergebnisanzeige für Google SCC Der Name des Vorfallsfelds, das mit dem Ergebnisindikator ausgefüllt werden soll (z. B. Beschreibung)
      Google SCC-Ergebnisressourcenname Der Name des Vorfallsfelds, das mit dem Ressourcennamen für das Ergebnis ausgefüllt werden soll (z. B. Beschreibung)
      Externer URI des Google SCC-Finds Der Name des Felds für den Vorfall, der mit dem URI ausgefüllt werden soll, der, falls verfügbar, auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis verfügbar sind.
      Filter anwenden Verfügbar für die einmalige Datenerhebung; wählen Sie aus, welche Projekte, Status, Schweregrad oder Kategorien einbezogen werden sollen
      Projektname Der Name des Projekts, aus dem Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist
      Status Ob die Ergebnisse aktiv oder inaktiv sind, wenn Filter anwenden ausgewählt ist
      Schweregrad Der Schweregrad der Ergebnisse, wenn Filter anwenden ausgewählt ist
      Kategorie Die Kategorie, aus der Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist
  9. So fügen Sie Assets hinzu:

    1. Wähle auf dem Tab Assets die Option Aktiviert aus.

    2. Geben Sie bei wiederkehrenden Datensammlungen im Feld Asset Subscription Id den Namen des Pub/Sub-Abos für Assets ein.

  10. Wählen Sie auf dem Tab Quellen die Option Aktiviert aus, um Sicherheitsquellen hinzuzufügen.

  11. So fügen Sie Audit-Logs hinzu:

    1. Wählen Sie auf dem Tab Audit-Logs die Option Aktiviert aus.

    2. Geben Sie im Feld Audit-Log-Abo-ID bei wiederkehrenden Datensammlungen den Namen des Pub/Sub-Abos für Audit-Logs ein.

  12. Klicken Sie auf Senden.

  13. Wenn eine Meldung angezeigt wird, dass die Konfiguration inaktiv ist, klicken Sie auf OK. Sie aktivieren die Konfiguration später in diesem Verfahren.

  14. Klicke auf der Aufgabenseite unter Konfiguration der Datenaufnahme auf Als abgeschlossen markieren.

  15. Wenn Sie möchten, dass Vorfälle aus Ergebnissen erstellt werden, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf der Aufgabenseite unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallskonfiguration.

    3. Scrollen Sie auf der Seite Konfiguration der Datenaufnahme nach unten und klicken Sie auf den Tab Kriterien für die Erstellung von Vorfällen (Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (Google SCC für SIR).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall erstellt wird, basierend auf dem Feld. Beispielsweise können Sie Vorfälle für Ergebnisse erstellen, für die das Feld Schweregrad auf Hoch festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung, relativ zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Bedingung, für die Vorfälle erstellt werden sollen.

    8. Schließen Sie die Seite Konfiguration der Datenaufnahme.

    9. Klicken Sie auf der Aufgabenseite unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Als abgeschlossen markieren.

  16. So weisen Sie Vorfälle einer Gruppe zu:

    1. Klicken Sie auf der Aufgabenseite unter Zuweisungsgruppenkriterien auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallskonfiguration.

    3. Scrollen Sie auf der Seite Konfiguration der Datenaufnahme nach unten und klicken Sie auf den Tab Liste der Kriterien für Zuweisungsgruppen.

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Assignment Group (Zuweisungsgruppe): Gruppe, der die Vorfälle zugewiesen werden.

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem von Ihnen angegebenen Feld zugewiesen wird. So können Sie beispielsweise Vorfällen für Ergebnisse zuweisen, wenn das Feld Ergebnisklasse auf Fehlkonfiguration festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung, relativ zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Gruppe, der Sie Vorfälle zuweisen möchten.

    8. Schließen Sie die Seite Konfiguration der Datenaufnahme.

    9. Klicken Sie auf der Aufgabenseite unter Zuweisungsgruppenkriterien auf Als erledigt markieren.

  17. Klicken Sie auf der Aufgabenseite unter Konfiguration für die Datenaufnahme aktivieren auf Konfigurieren.

  18. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallskonfiguration.

  19. Wählen Sie Aktiv aus.

  20. Klicken Sie auf Daten erfassen, um mit der Datenerhebung zu beginnen.

  21. Klicken Sie auf Aktualisieren.

  22. Klicken Sie auf der Aufgabenseite unter Konfiguration für die Datenaufnahme aktivieren auf Als abgeschlossen markieren.

Konfiguration überprüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob ServiceNow Daten von Security Command Center abruft.

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Klicken Sie in der ServiceNow-Konsole auf den Tab Alle.

  2. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Aufnahmekonfiguration.

  3. Prüfen Sie den Status, um zu bestätigen, dass die Daten erhoben werden.

  4. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Assets, Ergebnisse, Quellen oder Audit-Logs. Sie sollten sehen, dass zu jedem aktivierten Daten Datensätze hinzugefügt werden. Wenn Sie die automatische Vorfallerstellung konfiguriert haben, sollten in der Konfiguration der Ergebnisse für jedes Ergebnis, das den von Ihnen angegebenen Kriterien entspricht, Vorfälle angezeigt werden.

Dashboards aufrufen

Mit der Google SCC ITSM-Anwendung können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets und Audit-Logs.

Sie können auf diese Dashboards in der ServiceNow-Konsole über die Seite Alle > Google SCC ITSM > Dashboards oder die Seite Alle > Google SCC SIR > Dashboards zugreifen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center wie Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie allen von Ihnen aktivierten integrierten Diensten zusammengestellt.

Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird ein Diagramm mit Google Cloud-Assets angezeigt, die nach Assettyp kategorisiert sind.

Sie können Asset-Daten nach Organisations-ID filtern.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum und Organisations-ID filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Schweregrad, Status oder Ergebnisklasse filtern. Wenn Sie die automatische Vorfallerstellung einrichten, enthält das Dashboard einen Link zum Vorfall.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Wenn Sie Inhalte filtern möchten, können Sie die Organisations-ID festlegen.

Vorfall manuell erstellen

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  3. Klicken Sie auf das Ergebnis, für das Sie einen Vorfall erstellen möchten.

  4. Klicken Sie auf der Ergebnisseite für Google SCC ITSM auf Create Incident (Vorfall erstellen) und für Google SCC SIR auf Create Security Incident (Sicherheitsvorfall erstellen).

Ergebnisstatus ändern

Sie können den Ergebnisstatus von „Aktiv“ zu „Inaktiv“ oder von „Inaktiv“ zu „Aktiv“ ändern.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab All (Alle) nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  2. Klicken Sie auf das Ergebnis, dessen Status Sie ändern möchten.

  3. Klicken Sie auf der Ergebnisseite auf Aktives Ergebnis oder Inaktives Ergebnis.

  4. Klicken Sie auf OK.

Apps deinstallieren

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  2. Wählen Sie Installiert aus.

  3. Wählen Sie Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Deinstallieren.

Beschränkungen

In diesem Abschnitt werden die Einschränkungen im Zusammenhang mit dieser Integration beschrieben.

  • Die maximale Anzahl von Assets, Ergebnissen, Quellen oder Audit-Logs, die pro API-Aufruf abgerufen werden können, beträgt 1.000.

  • Wenn die Antwort des Findings API-Aufrufs eine Antwort vom Typ 429/5XX ist, wird die Anwendung den Vorgang nach 60 Sekunden für 3 Versuche wiederholen. Wenn er immer noch fehlschlägt, schlägt der Vorgang fehl. So ändern Sie die Antwortzeit:

    1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM oder Google SCC SIR-Administrator an.

    2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Systemeigenschaften.

    3. Legen Sie für das Feld Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort von Google SCC (in Zahlen) eine Zahl größer als 3 fest.

    4. Klicken Sie auf Speichern.

Anwendungslogs aufrufen.

So rufen Sie die Logs für die Anwendung auf:

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Administration > Application Logs.

Fehlerbehebung

Die App kann nicht aus dem ServiceNow Store installiert werden

  1. Prüfen Sie, ob Sie als ServiceNow-Systemadministrator angemeldet sind.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  3. Prüfen Sie, ob die App auf dem Tab Installiert angezeigt wird.

Es kann kein neuer Nutzer erstellt werden

Wenn Sie die Release-Version von Rom verwenden, finden Sie eine Anleitung unter Nutzer erstellen.

Daten können nicht abgerufen werden

Dieses Problem kann auftreten, wenn Ergebnisse, Assets, Quellen oder Audit-Logs abgerufen werden und die Meldung „Datenaufnahme für Profil wird gestartet: PROFILE_NAME“ angezeigt wird.

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Administration > Systemeigenschaften.

  3. Die folgenden Felder dürfen nicht leer sein:

    • Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort von Google SCC (in Zahlen)

    • Zeitfenster, das nach Erreichen des Anfragelimits gewartet werden soll, bevor eine weitere Anfrage gestellt wird (in Millisekunden)

  4. Wenn die Felder leer sind, legen Sie die Werte so fest:

    • Legen Sie das Feld Maximale Anzahl von Wiederholungen für eine ungültige Antwort von Google SCC (in Zahlen) auf 3 fest.

    • Legen Sie Zeitfenster für die Wartezeit vor dem Senden einer weiteren Anfrage nach Erreichen des Anfragelimits (in Millisekunden) auf 60000 fest.

  5. Klicken Sie auf Speichern.

Einem Vorfall können nicht mehr als 250 Arbeitsnotizen oder Aktivitäten hinzugefügt werden

  1. Melden Sie sich in der ServiceNow-Konsole als Systemadministrator an.

  2. Suchen Sie in der Navigationsleiste nach sys_properties.list.

  3. Erstellen Sie im Fenster Systemeigenschaften den Filter Name lautet glide.history.max_entries.

  4. Klicken Sie auf Ausführen.

  5. Legen Sie im Property-Fenster für Wert eine Zahl fest, die größer als 250 ist.

  6. Klicken Sie auf Aktualisieren.

Anhang wird nicht unterstützt

  1. Melden Sie sich in der ServiceNow-Konsole als Systemadministrator an.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Sicherheit.

  3. Überprüfen Sie auf der Seite Eigenschaften des Sicherheitssystems die Liste der Erweiterungen in der Liste der Dateiendungen (durch Kommas getrennt), die über das Dialogfeld zum Anhängen an Dokumente angehängt werden können. Erweiterungen dürfen keinen Punkt (.) enthalten, z.B. XLS, XLSX, DOC, DOCX. Lassen Sie das Feld leer, um alle Erweiterungen zuzulassen.

Maximale Ausführungszeit überschritten

Sie erhalten diese Meldung, wenn Sie versuchen, auf die Dashboards zuzugreifen.

Eine Lösung finden Sie unter Meldung „Widget storniert – Maximale Ausführungszeit überschritten“ auf der Startseite.

Nächste Schritte