Security Command Center-Daten an ServiceNow senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsinformationen automatisch an Security Command Center gesendet werden Quellen für ServiceNow. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

ServiceNow bietet Support für das technische Management, einschließlich Helpdesk-Funktionen. Das Verwaltungssystem des Unternehmens hilft bei der Automatisierung aufgabenintensiver IT-Prozesse und -Ereignisse mithilfe von digitalen Workflows und Serviceportalen für Mitarbeiter.

Unterstützte Versionen

Sie können Security Command Center-Informationen an die ServiceNow IT-Serververwaltung (ITSM) oder die ServiceNow-Sicherheitsfallreaktion (SIR) senden.

Security Command Center unterstützt Integrationen mit den folgenden ServiceNow-Versionen:

  • Vancouver
  • Utah

Wenn Sie eine frühere Version wie Rom, San Diego oder Tokio empfehlen wir, auf die neueste unterstützte Version zu migrieren.

Die ersten Schritte mit ServiceNow finden Sie unter Jetzt starten

Hinweis

Sie müssen ServiceNow-Systemadministrator sein, um einige der Aufgaben in diesem Leitfaden ausführen zu können. Für die verbleibenden Aufgaben müssen Sie weitere Nutzer erstellen, wie unter Nutzer für die App erstellen beschrieben.

Bevor Sie eine Verbindung zu ServiceNow herstellen, müssen Sie eine Identity and Access Management (IAM) erstellen Dienstkonto und gewähren Sie dem Konto sowohl die Organisations- als auch die Projektebene IAM-Rollen, die die Anwendung „Google SCC SIR“ oder „Google SCC ITSM“ benötigt.

Dienstkonto erstellen und IAM-Rollen zuweisen

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Anweisungen finden Sie unter Dienstkonten erstellen und verwalten

  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)

  3. Kopieren Sie den Namen des gerade erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zu wechseln bis hin zur Organisationsebene.

  5. Öffnen Sie die IAM-Seite für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Die Erteilung wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Gehen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten so vor: fügen Sie den Namen des Dienstkontos ein.

    2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

    3. Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
    4. Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
    5. Organisationsbetrachter (roles/resourcemanager.organizationViewer)
    6. Cloud-Asset-Betrachter (roles/cloudasset.viewer)

    7. Klicken Sie auf Speichern. Das Dienstkonto wird auf dem Tab Berechtigungen angezeigt. auf der Seite IAM unter Nach Hauptkonten ansehen.

      Durch Übernahme wird das Dienstkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Gewähren von Rollen finden Sie unter folgenden Themen:

Geben Sie die Anmeldedaten für ServiceNow an

Erstellen Sie einen Dienstkontoschlüssel, um ServiceNow IAM-Anmeldedaten bereitzustellen. Sie benötigen den Dienstkontoschlüssel im JSON-Format, um diese Anleitung abzuschließen. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen gewähren beschrieben sind.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.

    • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:

      content-type=resource

    • Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Erstellen Sie eine Zielsenke für die Audit-Logs. Bei dieser Integration wird ein Pub/Sub-Thema als Ziel verwendet.

Sie benötigen Ihre Organisations-IDs und die Namen Ihrer Pub/Sub-Abos, um ServiceNow zu konfigurieren.

App für ServiceNow installieren

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Rufen Sie den ServiceNow-Speicher auf und suchen Sie nach einer der folgenden Apps:

    • Wenn Sie ServiceNow ITSM ausführen, Google SCC ITSM

    • Wenn Sie ServiceNow SIR ausführen, Google SCC SIR

  2. Klicken Sie auf die App und dann auf Herunterladen.

  3. Geben Sie Ihre ServiceNow-ID-Anmeldedaten ein und fahren Sie mit der Anmeldung fort.

  4. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  5. Wählen Sie Nicht installiert aus. Eine Liste mit Anwendungen wird angezeigt.

  6. Wählen Sie die App Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Installieren.

Anwendung für ServiceNow konfigurieren

In diesem Abschnitt erstellen Sie die erforderlichen Nutzer, konfigurieren die Verbindung und richten ServiceNow ein, um Security Command Center-Daten abzurufen.

Nutzer für die App erstellen

Sie müssen zwei Nutzer für die Anwendung „Google SCC ITSM“ oder „Google SCC SIR“ erstellen und ihnen die entsprechenden Rollen zuweisen.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole nach Organization.

  2. Klicken Sie auf Organisation > Nutzer:

  3. Klicken Sie auf Neu.

  4. Geben Sie die Informationen zum Administratorkonto für die Google SCC ITSM-App oder die Google SCC SIR-App ein. Geben Sie beispielsweise im Feld Nutzer-ID google_scc_itsm_admin für Google SCC ITSM oder google_scc_sir_admin für Google SCC SIR ein.

  5. Klicken Sie auf Senden.

  6. Wiederholen Sie die Schritte 3 bis 5, um ein Nutzerkonto für die Google SCC ITSM App oder die Google SCC SIR App zu erstellen. Geben Sie beispielsweise in das Feld Nutzer-ID google_scc_itsm_user für die Google SCC ITSM App oder google_scc_sir_user für die Google SCC SIR App ein.

  7. Klicken Sie in der Liste Nutzer auf den Namen eines der gerade erstellten Konten.

  8. Klicken Sie unter Rollen auf Bearbeiten.

  9. Fügen Sie die Rollen hinzu, die für das Konto gelten:

    NutzernameRollen
    ITSM-Administrator von Google SCC (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • Itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC ITSM-Nutzer (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • ITIL
    Google SCC SIR-Administrator (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR-Nutzer (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. Klicken Sie auf Speichern.

  11. Wiederholen Sie die Schritte 7 bis 10, um dem anderen Konto Rollen zuzuweisen.

  12. Melden Sie sich von Ihrem Konto ab und mit den Konten an, die Sie gerade erstellt haben, um Passwörter zu überprüfen.

Authentifizierung mit Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Security Command Center und ServiceNow einzurichten. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Erstellen Sie ein Java Keystore-Zertifikat aus der JSON-Datei, die Ihr Dienstkontoschlüssel. Eine Anleitung dazu finden Sie unter Java KeyStore-Zertifikat erstellen (Rom) oder Java KeyStore-Zertifikat erstellen (Tokio).

  2. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Einrichtungsassistent.

  3. Klicken Sie auf Jetzt starten.

  4. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Get Started (Jetzt starten).

  5. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Konfigurieren.

  6. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für dieses Zertifikat.

    • Format: PEM

    • Typ: Java Key Store

  7. Klicken Sie auf das Symbol Anhänge verwalten und fügen Sie das in Schritt 1 generierte Java Keystore-Zertifikat (.jks-Format) hinzu.

  8. Klicken Sie auf das Symbol Schließen.

  9. Klicken Sie auf Senden.

  10. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Als erledigt markieren.

  11. Klicken Sie auf der Aufgabenseite unter Create JWT Key (JWT erstellen) auf Configure (Konfigurieren).

  12. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Schlüssel.

    • Signing Keystore (Signatur-Schlüsselspeicher): der Zertifikatsname, den Sie in Schritt 7 angegeben haben

    • Signieralgorithmus: RSA 256

    • Signaturschlüssel: das Passwort für die .jks-Datei, die Sie in Schritt 1 erstellt haben

  13. Klicken Sie auf Senden.

  14. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Als erledigt markieren.

  15. Klicken Sie auf der Aufgabenseite unter Create JWT Provider (JWT-Anbieter erstellen) auf Configure (Konfigurieren).

  16. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Anbieter.

    • Ablaufzeitintervall (Sek.): 60

    • Signing Configuration (Signierkonfiguration): der Name des JWT-Schlüssels, den Sie in Schritt 13 angegeben haben

  17. Klicken Sie auf Senden.

  18. Klicken Sie auf der Aufgabenseite unter Create JWT Provider (JWT-Anbieter erstellen) auf Mark as Complete (Als abgeschlossen markieren).

  19. Klicken Sie auf der Aufgabenseite unter Authentifizierungskonfiguration erstellen auf Konfigurieren.

  20. Geben Sie die folgenden Informationen ein:

    • Name: Eindeutiger Name für diese Konfiguration

    • Organisations-ID: die ID Ihrer Organisation in Google Cloud

    • Basis-URL: Die URL für die Security Command Center API, in der Regel https://securitycenter.googleapis.com

    • Client Email (E-Mail-Adresse des Kunden): die E-Mail-Adresse für die IAM-Anmeldedaten

    • JWT-Anbieter: Der Name des JWT-Anbieters, den Sie in Schritt 17 angegeben haben

  21. Klicken Sie auf Senden. Die Meldung Authentication Successful (Authentifizierung erfolgreich) wird angezeigt.

  22. Schließen Sie das Fenster Authentifizierungskonfiguration erstellen.

  23. Klicken Sie auf der Aufgabenseite unter Authentifizierungskonfiguration erstellen auf Als abgeschlossen markieren.

Vorfallmanagement für Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Datenerhebung aus Security Command Center zu aktivieren. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ein ServiceNow-Systemadministrator sein, um diese Aufgabe auszuführen.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Einrichtungsassistent.

  2. Klicken Sie auf Jetzt starten.

  3. Klicken Sie unter Incident Configuration (Vorfallkonfiguration) auf Get Started (Jetzt starten).

  4. Um vorhandene Konfigurationselemente (z. B. Assets) zu identifizieren, die Sie zu Vorfällen hinzufügen, die Sie aus den Security Command Center-Ergebnissen erstellen, verwenden Sie CI-Lookup-Regeln: Führen Sie Folgendes aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter CI-Suchregel auf Konfigurieren.

    2. Klicken Sie auf Neu.

    3. Geben Sie die folgenden Informationen ein:

      • Name: Ein eindeutiger Name für diese Suchregel.

      • Suchmethode: entweder Feldabgleich oder Script

      • Reihenfolge: die Reihenfolge, in der diese Regel im Verhältnis zu anderen Regeln ausgewertet wird

      • Source Field (Quellfeld): das Feld im Ergebnisdaten das ist die Eingabe für diese Regel

      • Search On Table: bei einem Abgleich mit einem Feld die Tabelle zum Auffinden des Felds

      • Suchfeld: Wenn die Übereinstimmung anhand eines Felds erfolgen soll, das Feld, das mit dem Quellfeld abgeglichen werden soll.

      • Skript: Falls Sie ein Skript verwenden, geben Sie dieses ein.

      • Aktiv: Wählen Sie diese Option aus, um diese Suchregel zu aktivieren.

    4. Klicken Sie auf Senden.

    5. Wiederholen Sie diesen Schritt nach Bedarf für weitere Konfigurationselemente.

    6. Klicken Sie auf der Aufgabenseite unter CI-Lockup-Regel auf Als abgeschlossen markieren.

  5. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Konfigurieren.

  6. Klicken Sie auf Neu.

  7. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Name Ein eindeutiger Name für diesen Eintrag
    Google SCC-Konfiguration Die Authentifizierungskonfiguration, die Sie unter Authentifizierung mit Security Command Center konfigurieren erstellt haben. Sie benötigen eine Datenaufnahmekonfiguration für jede konfigurierte Authentifizierung.
    Regelmäßige Datenerhebung Regelmäßige Datenaufnahme aus dem Security Command Center zulassen
    Intervall(Sekunde) Das Zeitintervall zwischen Datenaktualisierungen von Security Command Center
    Einmalige Datenerfassung Aktivieren Sie die Datenaufnahme aus dem Security Command Center. Bei der einmaligen Datenerfassung werden keine Audit-Logs unterstützt.
    Beginn der Sammlung Das Datum, an dem die Datenaufnahme aus Security Command Center gestartet werden soll

    Wählen Sie erst Aktiv aus, wenn Sie die restlichen Schritte in diesem Abschnitt ausgeführt haben.

  8. Führen Sie die folgenden Schritte aus, um Ergebnisse hinzuzufügen:

    1. Wählen Sie auf dem Tab Ergebnisse die Option Aktiviert aus. Wenn Sie Ergebnisse aktivieren, werden auch Assets und Quellen automatisch aktiviert.

    2. Geben Sie die folgenden Informationen ein:

      Feld Beschreibung
      Abo-ID für Ergebnisse Bei wiederkehrenden Datensammlungen der Name des Pub/Sub-Abos für Ergebnisse
      Ergebnisname des Google SCC Der Name des Felds für den Vorfall, in das der Name des Ergebnisses eingefügt wird (z. B. Beschreibung)
      Ergebnisstatus von Google SCC Der Name des Vorfallfelds, das mit dem Status des Ergebnisses ausgefüllt werden soll (z. B. „Beschreibung“)
      Ergebnisanzeige für Google SCC Der Name des Vorfallsfelds, das mit dem Ergebnisindikator ausgefüllt werden soll (z. B. Beschreibung)
      Name der Google SCC-Ressource für das Ergebnis Der Name des Vorfallfelds, das mit dem Ressourcennamen für den Befund ausgefüllt werden soll (z. B. „Beschreibung“)
      Externer URI des Google SCC-Finds Der Name des Felds für den Vorfall, der mit dem URI ausgefüllt werden soll, der, falls verfügbar, auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis zu finden sind.
      Filter anwenden Verfügbar für die einmalige Datenerhebung. Wählen Sie aus, welche Projekte, Status, Schweregrade oder Kategorien eingeschlossen werden sollen.
      Projektname Der Name des Projekts, aus dem Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist
      Bundesland Ob die Ergebnisse aktiv oder inaktiv sind, wenn Filter anwenden ausgewählt ist
      Schweregrad Der Schweregrad der Ergebnisse, wenn Filter anwenden ausgewählt ist
      Kategorie Die Kategorie, aus der Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist

  9. So fügen Sie Assets hinzu:

    1. Wählen Sie auf dem Tab Assets die Option Aktiviert aus.

    2. Geben Sie im Feld Asset-Abo-ID für wiederkehrende Datenerhebungen den Namen des Pub/Sub-Abos für Assets ein.

  10. Wenn Sie Sicherheitsquellen hinzufügen möchten, wählen Sie auf dem Tab Quellen die Option Aktiviert aus.

  11. So fügen Sie Audit-Logs hinzu:

    1. Wählen Sie auf dem Tab Audit-Logs die Option Aktiviert aus.

    2. Geben Sie im Feld Audit-Log-Abo-ID bei wiederkehrenden Datensammlungen den Namen des Pub/Sub-Abos für Audit-Logs ein.

  12. Klicken Sie auf Senden.

  13. Wenn Sie die Meldung erhalten, dass die Konfiguration inaktiv ist, klicken Sie auf OK. Sie aktivieren die Konfiguration später in diesem Verfahren.

  14. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Als erledigt markieren.

  15. Wenn Sie möchten, dass Vorfälle aus Ergebnissen erstellt werden, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf der Aufgabenseite unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Notfallkonfiguration.

    3. Scrollen Sie auf der Seite Konfiguration der Datenaufnahme nach unten und klicken Sie auf den Tab Kriterien für die Erstellung von Vorfällen (Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (Google SCC für SIR).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem Feld erstellt wird. Beispielsweise können Sie Vorfälle für Ergebnisse erstellen, bei denen das Feld Schweregrad auf Hoch festgelegt ist.

      • Reihenfolge: Die Reihenfolge für diese Bedingung, relativ zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Bedingung, für die Vorfälle erstellt werden sollen.

    8. Schließen Sie die Seite Konfiguration der Datenaufnahme.

    9. Klicken Sie auf der Aufgabenseite unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Als abgeschlossen markieren.

  16. So weisen Sie Vorfälle einer Gruppe zu:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für Aufgabengruppen auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Notfallkonfiguration.

    3. Scrollen Sie auf der Seite Konfiguration der Datenaufnahme nach unten und klicken Sie auf den Tab Liste der Kriterien für Zuweisungsgruppen.

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Assignment Group (Zuweisungsgruppe): Gruppe, der die Vorfälle zugewiesen werden.

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem von Ihnen angegebenen Feld zugewiesen wird. Sie können beispielsweise Vorfälle für Ergebnisse zuweisen, für die das Feld Ergebnisklasse auf Fehlkonfiguration festgelegt ist.

      • Reihenfolge: Die Reihenfolge dieser Bedingung im Vergleich zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Gruppe, der Sie Vorfälle zuweisen möchten.

    8. Schließen Sie die Seite Konfiguration der Datenaufnahme.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Zuweisungsgruppenkriterien auf Als erledigt markieren.

  17. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Konfigurieren.

  18. Klicken Sie auf den Namen der von Ihnen erstellten Vorfallskonfiguration.

  19. Wählen Sie Aktiv aus.

  20. Klicken Sie auf Daten erheben, um mit der Datenerhebung zu beginnen.

  21. Klicken Sie auf Aktualisieren.

  22. Klicken Sie auf der Aufgabenseite unter Konfiguration für die Datenaufnahme aktivieren auf Als abgeschlossen markieren.

Konfiguration überprüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob ServiceNow Daten von Security Command Center abruft.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Klicken Sie in der ServiceNow-Konsole auf den Tab Alle.

  2. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Aufnahmekonfiguration.

  3. Prüfen Sie den Status, um zu sehen, ob die Daten erfasst werden.

  4. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Assets, Ergebnisse, Quellen oder Audit-Logs. Es sollten Einträge zu sehen, die zu jedem aktivierten Daten hinzugefügt werden. Wenn Sie die automatische Erstellung von Vorfällen konfiguriert haben, sollten Sie in der Konfiguration unter Ergebnisse Vorfälle zu den einzelnen Ergebnissen sehen, die den von Ihnen angegebenen Kriterien entsprechen.

Dashboards aufrufen

Mit der Google SCC ITSM App können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets und Audit-Logs.

Sie können auf diese Dashboards in der ServiceNow-Konsole zugreifen, indem Sie die Seite Alle > Google SCC ITSM > Dashboards oder Alle > Google SCC SIR > Dashboards aufrufen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse stammen aus den integrierten Dienste wie Security Health Analytics Web Security Scanner Event Threat Detection und Container Threat Detection und alle integrierten Dienste, die Sie aktivieren.

Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird ein Diagramm mit Google Cloud-Assets nach Asset-Typ angezeigt.

Sie können Asset-Daten nach Organisations-ID filtern.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum und Organisations-ID filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Schweregrad, Status oder Ergebnisklasse filtern. Wenn Sie die automatische Vorfallerstellung einrichten, enthält das Dashboard einen Link zum Vorfall.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Sie können die Organisations-ID festlegen, um Inhalte zu filtern.

Vorfall manuell erstellen

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  3. Klicken Sie auf das Ergebnis, für das Sie einen Vorfall erstellen möchten.

  4. Klicken Sie auf der Ergebnisseite für Google SCC ITSM auf Create Incident (Vorfall erstellen) und für Google SCC SIR auf Create Security Incident (Sicherheitsvorfall erstellen).

Status eines Ergebnisses ändern

Sie können den Ergebnisstatus von „Aktiv“ zu „Inaktiv“ oder von „Inaktiv“ zu „Aktiv“ ändern.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  2. Klicken Sie auf die Feststellung, für die Sie den Status ändern möchten.

  3. Klicken Sie auf der Seite „Ergebnisse“ auf Aktives Ergebnis oder Inaktives Ergebnis.

  4. Klicken Sie auf OK.

Apps deinstallieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  2. Wählen Sie Installiert aus.

  3. Wählen Sie Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Deinstallieren.

Beschränkungen

In diesem Abschnitt werden die Einschränkungen im Zusammenhang mit dieser Integration beschrieben.

  • Die maximale Anzahl von Assets, Ergebnissen, Quellen oder Audit-Logs, die pro API-Aufruf abgerufen werden können, beträgt 1.000.

  • Wenn die Antwort auf den Findings API-Aufruf einen der Codes 429/5XX enthält, wird der Vorgang nach 60 Sekunden dreimal wiederholt. Wenn er weiterhin fehlschlägt, schlägt der Vorgang fehl. So ändern Sie die Reaktionszeit:

    1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

    2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Systemeigenschaften.

    3. Legen Sie im Feld Maximale Anzahl der Wiederholungen bei ungültiger Antwort vom Google SCC (in Zahlen) eine Zahl fest, die größer als 3 ist.

    4. Klicken Sie auf Speichern.

Anwendungslogs aufrufen.

So rufen Sie die Logs für die App auf:

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Verwaltung > Anwendungsprotokolle.

Fehlerbehebung

Die App kann nicht aus dem ServiceNow Store installiert werden

  1. Prüfen Sie, ob Sie als ServiceNow-Systemadministrator angemeldet sind.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  3. Prüfen Sie, ob die App auf dem Tab Installiert angezeigt wird.

Neuer Nutzer kann nicht erstellt werden

Wenn Sie die Releaseversion „Rome“ verwenden, finden Sie unter Nutzer erstellen eine Anleitung.

Daten können nicht abgerufen werden

Dieses Problem kann beim Abrufen von Ergebnissen, Assets, Quellen oder Audit-Logs auftreten. In diesem Fall wird die Meldung „Datenaufnahme für Profil PROFILE_NAME wird gestartet“ angezeigt.

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Administration > Systemeigenschaften.

  3. Die folgenden Felder dürfen nicht leer sein:

    • Anzahl der maximalen Wiederholungsversuche für eine ungültige Antwort von Google SCC (in Zahlen)

    • Zeitfenster, das nach Erreichen des Anfragelimits abgewartet werden muss, bevor eine weitere Anfrage gesendet werden kann (in Millisekunden)

  4. Wenn die Felder leer sind, legen Sie die Werte so fest:

    • Legen Sie das Feld Maximale Anzahl von Wiederholungsversuchen für eine ungültige Antwort von Google SCC (in Zahlen) auf 3 fest.

    • Legen Sie Zeitfenster für die Wartezeit vor dem Senden einer weiteren Anfrage nach Erreichen des Anfragelimits (in Millisekunden) auf 60000 fest.

  5. Klicken Sie auf Speichern.

Einem Fall können nicht mehr als 250 Arbeitsnotizen oder Aktivitäten hinzugefügt werden

  1. Melden Sie sich in der ServiceNow-Konsole als Systemadministrator an.

  2. Suchen Sie in der Navigationsleiste nach sys_properties.list.

  3. Erstellen Sie im Fenster Systemeigenschaften den Filter Name ist glide.history.max_entries.

  4. Klicken Sie auf Ausführen.

  5. Legen Sie im Fenster „Eigenschaften“ für Wert eine Zahl fest, die größer als 250 ist.

  6. Klicken Sie auf Aktualisieren.

Anhang wird nicht unterstützt

  1. Melden Sie sich als Systemadministrator in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Sicherheit.

  3. Prüfen Sie auf der Seite Eigenschaften des Sicherheitssystems die Liste der Erweiterungen in der Liste der Dateiendungen (durch Kommas getrennt), die über das Dialogfeld „Anhänge“ an Dokumente angehängt werden können. Erweiterungen dürfen keinen Punkt (.) enthalten, z.B. XLS,XLSX,DOC,DOCX. Lassen Sie das Feld leer, um alle Erweiterungen zuzulassen.

Maximale Ausführungszeit überschritten

Sie erhalten diese Meldung, wenn Sie versuchen, auf die Dashboards zuzugreifen.

Eine Lösung finden Sie unter „Widget abgebrochen – maximale Ausführungszeit überschritten“ Nachricht auf der Startseite.

Nächste Schritte