Security Command Center-Daten an ServiceNow senden

Auf dieser Seite wird erläutert, wie Ergebnisse, Assets, Audit-Logs und Sicherheitsquellen von Security Command Center automatisch an ServiceNow gesendet werden. Außerdem wird beschrieben, wie Sie die exportierten Daten verwalten.

ServiceNow bietet technischen Support, einschließlich Helpdesk-Funktionen. Das Verwaltungssystem hilft dabei, aufgabenintensive IT-Prozesse und -Ereignisse mithilfe digitaler Workflows und Mitarbeiterserviceportale zu automatisieren.

Unterstützte Versionen

Sie können Security Command Center-Informationen an die ServiceNow IT-Serververwaltung (ITSM) oder die ServiceNow-Sicherheitsfallreaktion (SIR) senden.

Security Command Center unterstützt Integrationen mit den folgenden ServiceNow-Versionen:

  • Vancouver
  • Utah

Wenn Sie eine ältere Version wie Rom, San Diego oder Tokio verwenden, empfehlen wir Ihnen, auf die neueste unterstützte Version zu migrieren.

Informationen zum Einstieg in ServiceNow finden Sie unter Erste Schritte.

Hinweise

Sie müssen ServiceNow-Systemadministrator sein, um einige der Aufgaben in diesem Leitfaden ausführen zu können. Für die verbleibenden Aufgaben müssen Sie weitere Nutzer erstellen, wie unter Nutzer für die App erstellen beschrieben.

Bevor Sie eine Verbindung zu ServiceNow herstellen, müssen Sie ein IAM-Dienstkonto (Identity and Access Management) erstellen und dem Konto die IAM-Rollen auf Organisations- und Projektebene zuweisen, die die Google SCC SIR App oder die Google SCC ITSM App benötigt.

Dienstkonto erstellen und IAM-Rollen gewähren

In den folgenden Schritten wird die Google Cloud Console verwendet. Weitere Methoden finden Sie in den Links am Ende dieses Abschnitts.

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. Erstellen Sie in demselben Projekt, in dem Sie Ihre Pub/Sub-Themen erstellen, in der Google Cloud Console auf der Seite Dienstkonten ein Dienstkonto. Eine Anleitung dazu finden Sie unter Dienstkonten erstellen und verwalten.

  2. Weisen Sie dem Dienstkonto die folgende Rolle zu:

    • Pub/Sub-Bearbeiter (roles/pubsub.editor)

  3. Kopieren Sie den Namen des soeben erstellten Dienstkontos.

  4. Verwenden Sie die Projektauswahl in der Google Cloud Console, um zur Organisationsebene zu wechseln.

  5. Öffnen Sie die Seite IAM für die Organisation:

    IAM aufrufen

  6. Klicken Sie auf der IAM-Seite auf Zugriff erlauben. Das Steuerfeld „Zugriff gewähren“ wird geöffnet.

  7. Führen Sie im Bereich Zugriff gewähren die folgenden Schritte aus:

    1. Fügen Sie im Bereich Hauptkonten hinzufügen im Feld Neue Hauptkonten den Namen des Dienstkontos ein.

    2. Weisen Sie im Bereich Rollen zuweisen dem Dienstkonto im Feld Rolle die folgenden IAM-Rollen zu:

    3. Sicherheitscenter-Administratorbearbeiter (roles/securitycenter.adminEditor)
    4. Bearbeiter von Konfigurationen für Benachrichtigungen des Sicherheitscenters (roles/securitycenter.notificationConfigEditor)
    5. Organisationsbetrachter (roles/resourcemanager.organizationViewer)
    6. Cloud-Asset-Betrachter (roles/cloudasset.viewer)

    7. Klicken Sie auf Speichern. Das Dienstkonto wird auf der Seite IAM auf dem Tab Berechtigungen unter Nach Hauptkonten filtern angezeigt.

      Durch Vererbung wird das Dienstkonto auch zu einem Hauptkonto in allen untergeordneten Projekten der Organisation. Die auf Projektebene anwendbaren Rollen werden als übernommene Rollen aufgeführt.

Weitere Informationen zum Erstellen von Dienstkonten und zum Zuweisen von Rollen finden Sie unter den folgenden Links:

Anmeldedaten für ServiceNow angeben

Wenn Sie ServiceNow IAM-Anmeldedaten zur Verfügung stellen möchten, erstellen Sie einen Dienstkontoschlüssel. Sie benötigen den Dienstkontoschlüssel im JSON-Format, um diese Anleitung abzuschließen. Wenn Sie mehrere Google Cloud-Organisationen verwenden, fügen Sie dieses Dienstkonto den anderen Organisationen hinzu und gewähren Sie ihm die IAM-Rollen, die in den Schritten 5 bis 7 unter Dienstkonto erstellen und IAM-Rollen gewähren beschrieben sind.

Benachrichtigungen konfigurieren

Führen Sie diese Schritte für jede Google Cloud-Organisation aus, aus der Sie Security Command Center-Daten importieren möchten.

  1. So richten Sie Ergebnisbenachrichtigungen ein:

    1. Aktivieren Sie die Security Command Center API.
    2. Erstellen Sie einen Filter, um die gewünschten Ergebnisse und Assets zu exportieren.

  2. Aktivieren Sie die Cloud Asset API für Ihr Projekt.

  3. Erstellen Sie Feeds für Ihre Assets. Sie müssen zwei Feeds im selben Pub/Sub-Thema erstellen, einen für Ihre Ressourcen und einen für Ihre IAM-Richtlinien (Identity and Access Management).

    • Das Pub/Sub-Thema für Assets muss sich von dem unterscheiden, das für Ergebnisse verwendet wird.

    • Verwenden Sie für den Feed für Ihre Ressourcen den folgenden Filter:

      content-type=resource

    • Verwenden Sie für den IAM-Richtlinienfeed den folgenden Filter:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. Erstellen Sie eine Zielsenke für die Audit-Logs. Bei dieser Integration wird ein Pub/Sub-Thema als Ziel verwendet.

Sie benötigen Ihre Organisations-IDs und die Namen Ihrer Pub/Sub-Abos, um ServiceNow zu konfigurieren.

App für ServiceNow installieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Rufen Sie den ServiceNow Store auf und suchen Sie nach einer der folgenden Apps:

    • Wenn Sie ServiceNow ITSM verwenden, Google SCC ITSM

    • Wenn Sie ServiceNow SIR verwenden, Google SCC SIR

  2. Klicken Sie auf die App und dann auf Herunterladen.

  3. Geben Sie Ihre Anmeldedaten für die ServiceNow-ID ein und fahren Sie mit dem Anmeldevorgang fort.

  4. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  5. Wählen Sie Nicht installiert aus. Eine Liste mit Anwendungen wird angezeigt.

  6. Wählen Sie die App Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Installieren.

App für ServiceNow konfigurieren

In diesem Abschnitt erstellen Sie die erforderlichen Nutzer, konfigurieren die Verbindung und richten ServiceNow für das Abrufen von Security Command Center-Daten ein.

Nutzer für die App erstellen

Sie müssen zwei Nutzer für die Google SCC ITSM- oder Google SCC SIR-App erstellen und ihnen die entsprechenden Rollen zuweisen.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole nach Organization.

  2. Klicken Sie auf Organisation > Nutzer.

  3. Klicken Sie auf Neu.

  4. Geben Sie die Informationen für das Administratorkonto für die Google SCC ITSM App oder die Google SCC SIR App ein. Geben Sie beispielsweise in das Feld Nutzer-ID google_scc_itsm_admin für die Google SCC ITSM App oder google_scc_sir_admin für die Google SCC SIR App ein.

  5. Klicken Sie auf Senden.

  6. Wiederholen Sie die Schritte 3 bis 5, um ein Nutzerkonto für die Google SCC ITSM App oder die Google SCC SIR App zu erstellen. Geben Sie beispielsweise in das Feld Nutzer-ID google_scc_itsm_user für die Google SCC ITSM App oder google_scc_sir_user für die Google SCC SIR App ein.

  7. Klicken Sie in der Liste Nutzer auf den Namen eines der Konten, die Sie gerade erstellt haben.

  8. Klicken Sie unter Rollen auf Bearbeiten.

  9. Fügen Sie die Rollen hinzu, die für das Konto gelten:

    NutzernameRollen
    Google SCC ITSM-Administrator (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • ITIL
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC ITSM-Nutzer (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • ITIL
    Google SCC SIR admin (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR-Nutzer (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. Klicken Sie auf Speichern.

  11. Wiederholen Sie die Schritte 7 bis 10, um dem anderen Konto Rollen zuzuweisen.

  12. Melden Sie sich von Ihrem Konto ab und melden Sie sich mit den Konten an, die Sie gerade erstellt haben, um Passwörter zu bestätigen.

Authentifizierung mit Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Security Command Center und ServiceNow einzurichten. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Erstellen Sie ein Java Keystore-Zertifikat aus der JSON-Datei, die den Dienstkontoschlüssel enthält. Eine Anleitung finden Sie unter Java KeyStore-Zertifikat (Xanadu) erstellen.

  2. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Einrichtungsassistent.

  3. Klicken Sie auf Jetzt starten.

  4. Klicken Sie unter Authentication Configuration (Authentifizierungskonfiguration) auf Get Started (Jetzt starten).

  5. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Konfigurieren.

  6. Geben Sie die folgenden Informationen ein:

    • Name: Eindeutiger Name für dieses Zertifikat

    • Format: PEM

    • Typ: Java Key Store

  7. Klicken Sie auf das Symbol Anhänge verwalten und fügen Sie das Java Keystore-Zertifikat (JKS-Format) hinzu, das Sie in Schritt 1 generiert haben.

  8. Klicken Sie auf das Symbol Schließen.

  9. Klicken Sie auf Senden.

  10. Klicken Sie auf der Seite „Aufgaben“ unter X.509-Zertifikat erstellen auf Als erledigt markieren.

  11. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Konfigurieren.

  12. Geben Sie die folgenden Informationen ein:

    • Name: Ein eindeutiger Name für diesen Schlüssel.

    • Signing Keystore (Signatur-Keystore): der Zertifikatsname, den Sie in Schritt 7 angegeben haben

    • Signaturalgorithmus: RSA 256

    • Signaturschlüssel: das Passwort für die .jks-Datei, die Sie in Schritt 1 erstellt haben

  13. Klicken Sie auf Senden.

  14. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Schlüssel erstellen auf Als erledigt markieren.

  15. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Konfigurieren.

  16. Geben Sie die folgenden Informationen ein:

    • Name: Eindeutiger Name für diesen Anbieter.

    • Ablaufintervall (Sekunden): 60

    • Signaturkonfiguration: der JWT-Schlüsselname, den Sie in Schritt 13 angegeben haben

  17. Klicken Sie auf Senden.

  18. Klicken Sie auf der Seite „Aufgaben“ unter JWT-Anbieter erstellen auf Als erledigt markieren.

  19. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Konfigurieren.

  20. Geben Sie die folgenden Informationen ein:

    • Name: Eindeutiger Name für diese Konfiguration

    • Organisations-ID: die ID Ihrer Organisation in Google Cloud

    • Basis-URL: Die URL für die Security Command Center API, in der Regel https://securitycenter.googleapis.com

    • Client-E-Mail-Adresse: die E-Mail-Adresse für die IAM-Anmeldedaten

    • JWT-Anbieter: Der Name des JWT-Anbieters, den Sie in Schritt 17 angegeben haben

  21. Klicken Sie auf Senden. Die Meldung Authentication Successful (Authentifizierung erfolgreich) wird angezeigt.

  22. Schließen Sie das Fenster Authentifizierungskonfiguration erstellen.

  23. Klicken Sie auf der Seite „Aufgaben“ unter Authentifizierungskonfiguration erstellen auf Als erledigt markieren.

Vorfallmanagement für Security Command Center konfigurieren

Führen Sie die folgenden Schritte aus, um die Datenerhebung aus Security Command Center zu aktivieren. Wenn Sie mehrere Organisationen unterstützen möchten, füllen Sie diesen Abschnitt für jede Organisation aus.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Einrichtungsassistent.

  2. Klicken Sie auf Jetzt starten.

  3. Klicken Sie unter Incident-Konfiguration auf Jetzt starten.

  4. Mithilfe von Regeln für die Suche nach Konfigurationselementen können Sie vorhandene Konfigurationselemente (z. B. Assets) ermitteln, die Sie Vorfällen hinzufügen möchten, die Sie anhand der Ergebnisse im Security Command Center erstellen. Führen Sie Folgendes aus:

    1. Klicken Sie auf der Seite „Aufgaben“ unter CI-Suchregel auf Konfigurieren.

    2. Klicken Sie auf Neu.

    3. Geben Sie die folgenden Informationen ein:

      • Name: Ein eindeutiger Name für diese Suchregel.

      • Suchmethode: entweder Feldabgleich oder Script

      • Reihenfolge: Die Reihenfolge, in der diese Regel im Vergleich zu anderen Regeln ausgewertet wird.

      • Quellfeld: Das Feld in den Ergebnisdaten, das als Eingabe für diese Regel dient

      • In Tabelle suchen: Wenn die Übereinstimmung auf ein Feld erfolgt, die Tabelle, in der das Feld gefunden werden soll

      • Suchfeld: Wenn die Übereinstimmung anhand eines Felds erfolgen soll, das Feld, das mit dem Quellfeld abgeglichen werden soll.

      • Script: Geben Sie das Script ein, falls Sie ein Script verwenden.

      • Aktiv: Wählen Sie diese Option aus, um diese Suchregel zu aktivieren.

    4. Klicken Sie auf Senden.

    5. Wiederholen Sie diesen Schritt nach Bedarf für weitere Konfigurationselemente.

    6. Klicken Sie auf der Seite „Aufgaben“ unter CI-Sperre – Regel auf Als erledigt markieren.

  5. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Konfigurieren.

  6. Klicken Sie auf Neu.

  7. Geben Sie die folgenden Informationen ein:

    Feld Beschreibung
    Name Ein eindeutiger Name für diesen Eintrag
    Google SCC-Konfiguration Die Authentifizierungskonfiguration, die Sie unter Authentifizierung mit Security Command Center konfigurieren erstellt haben. Sie benötigen eine Datenaufnahmekonfiguration für jede konfigurierte Authentifizierung.
    Regelmäßige Datenerhebung Regelmäßige Datenaufnahme aus dem Security Command Center zulassen
    Intervall(Sekunden) Das Zeitintervall zwischen Datenaktualisierungen aus dem Security Command Center
    Einmalige Datenerhebung Aktivieren Sie die Datenaufnahme aus dem Security Command Center. Bei der einmaligen Datenerhebung werden keine Audit-Logs unterstützt.
    Startzeit der Datenerhebung Das Datum, an dem die Datenaufnahme aus Security Command Center gestartet werden soll

    Wählen Sie erst Aktiv aus, wenn Sie die restlichen Schritte in diesem Abschnitt ausgeführt haben.

  8. So fügen Sie Ergebnisse hinzu:

    1. Wählen Sie auf dem Tab Ergebnisse die Option Aktiviert aus. Wenn Sie Ergebnisse aktivieren, werden auch Assets und Quellen automatisch aktiviert.

    2. Geben Sie die folgenden Informationen ein:

      Feld Beschreibung
      Abo-ID für Ergebnisse Bei wiederkehrenden Datenerhebungen: der Name des Pub/Sub-Abos für Ergebnisse
      Name des Google SCC-Ergebnisses Der Name des Vorfallfelds, das mit dem Namen der Abweichung ausgefüllt werden soll (z. B. „Beschreibung“)
      Google SCC-Ergebnisstatus Der Name des Vorfallfelds, das mit dem Status des Ergebnisses ausgefüllt werden soll (z. B. „Beschreibung“)
      Google SCC-Ergebnisanzeige Der Name des Vorfallfelds, das mit dem Hinweis auf den Mangel ausgefüllt werden soll (z. B. „Beschreibung“)
      Name der Google SCC-Ressource für das Ergebnis Der Name des Vorfallfelds, das mit dem Ressourcennamen für den Mangel ausgefüllt werden soll (z. B. „Beschreibung“)
      Externer URI für Google SCC-Ergebnis Der Name des Ereignisfelds, das mit dem URI ausgefüllt werden soll, der gegebenenfalls auf eine Webseite außerhalb von Security Command Center verweist, auf der zusätzliche Informationen zum Ergebnis zu finden sind.
      Filter anwenden Verfügbar für die einmalige Datenerhebung. Wählen Sie aus, welche Projekte, Status, Schweregrade oder Kategorien eingeschlossen werden sollen.
      Projektname Der Name des Projekts, aus dem Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist
      Bundesland Ob die Ergebnisse aktiv oder inaktiv sind, wenn Filter anwenden ausgewählt ist
      Schweregrad Der Schweregrad der Ergebnisse, wenn Filter anwenden ausgewählt ist
      Kategorie Die Kategorie, aus der Sie Ergebnisse abrufen möchten, wenn Filter anwenden ausgewählt ist

  9. So fügen Sie Assets hinzu:

    1. Wählen Sie auf dem Tab Assets die Option Aktiviert aus.

    2. Geben Sie im Feld Asset-Abo-ID für wiederkehrende Datenerhebungen den Namen des Pub/Sub-Abos für Assets ein.

  10. Wenn Sie Sicherheitsquellen hinzufügen möchten, wählen Sie auf dem Tab Quellen die Option Aktiviert aus.

  11. So fügen Sie Prüfprotokolle hinzu:

    1. Wählen Sie auf dem Tab Audit Logs (Audit-Protokolle) die Option Enabled (Aktiviert) aus.

    2. Geben Sie im Feld Audit Logs Subscription Id (Abo-ID für Audit-Logs) für wiederkehrende Datenerhebungen den Namen des Pub/Sub-Abos für Audit-Logs ein.

  12. Klicken Sie auf Senden.

  13. Wenn Sie die Meldung erhalten, dass die Konfiguration inaktiv ist, klicken Sie auf OK. Sie aktivieren die Konfiguration später in diesem Verfahren.

  14. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration auf Als erledigt markieren.

  15. Wenn Sie aus den Ergebnissen Probleme erstellen möchten, gehen Sie so vor:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Notfallkonfiguration.

    3. Scrollen Sie auf der Seite Aufnahmekonfiguration nach unten und klicken Sie auf den Tab Liste der Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR).

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem Feld erstellt wird. Sie können beispielsweise Vorfälle für Ergebnisse erstellen, für die das Feld Schweregrad auf Hoch festgelegt ist.

      • Reihenfolge: Die Reihenfolge dieser Bedingung im Vergleich zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Bedingung, für die Sie Probleme erstellen möchten.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Erstellung von Vorfällen (für Google SCC für ITSM) oder Kriterien für die Erstellung von Sicherheitsvorfällen (für Google SCC für SIR) auf Als erledigt markieren.

  16. So weisen Sie einer Gruppe Vorfälle zu:

    1. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für Aufgabengruppen auf Konfigurieren.

    2. Klicken Sie auf den Namen der von Ihnen erstellten Notfallkonfiguration.

    3. Scrollen Sie auf der Seite Aufnahmekonfiguration nach unten und klicken Sie auf den Tab Liste der Kriterien für Zuweisungsgruppen.

    4. Klicken Sie auf Neu.

    5. Geben Sie die folgenden Informationen ein:

      • Zuweisungsgruppe: Die Gruppe, der die Vorfälle zugewiesen werden.

      • Bedingung: Die dynamische Bedingung, unter der ein Vorfall basierend auf dem von Ihnen angegebenen Feld zugewiesen wird. Sie können beispielsweise Vorfälle für Ergebnisse zuweisen, für die das Feld Ergebnisklasse auf Fehlkonfiguration festgelegt ist.

      • Reihenfolge: Die Reihenfolge dieser Bedingung im Vergleich zu anderen Bedingungen.

    6. Klicken Sie auf Senden.

    7. Wiederholen Sie die Schritte d bis f für jede Gruppe, der Sie Vorfälle zuweisen möchten.

    8. Schließen Sie die Seite Aufnahmekonfiguration.

    9. Klicken Sie auf der Seite „Aufgaben“ unter Kriterien für die Aufgabengruppe auf Als erledigt markieren.

  17. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Konfigurieren.

  18. Klicken Sie auf den Namen der von Ihnen erstellten Notfallkonfiguration.

  19. Wählen Sie Aktiv aus.

  20. Klicken Sie auf Daten erheben, um mit der Datenerhebung zu beginnen.

  21. Klicken Sie auf Aktualisieren.

  22. Klicken Sie auf der Seite „Aufgaben“ unter Aufnahmekonfiguration aktivieren auf Als erledigt markieren.

Konfiguration überprüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob ServiceNow Daten aus Security Command Center abruft.

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Klicken Sie in der ServiceNow-Konsole auf den Tab Alle.

  2. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Aufnahmekonfiguration.

  3. Prüfen Sie den Status, um zu sehen, ob die Daten erfasst werden.

  4. Suchen Sie nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf eine der Optionen Assets, Ergebnisse, Quellen oder Audit Logs. Sie sollten sehen, dass den Daten, die Sie aktiviert haben, Einträge hinzugefügt werden. Wenn Sie die automatische Erstellung von Vorfällen konfiguriert haben, sollten Sie in der Konfiguration unter Ergebnisse Vorfälle zu den einzelnen Ergebnissen sehen, die den von Ihnen angegebenen Kriterien entsprechen.

Dashboards aufrufen

Mit der Google SCC ITSM App können Sie die Daten aus Security Command Center visualisieren. Es enthält fünf Dashboards: Übersicht, Quellen, Ergebnisse, Assets und Audit-Logs.

Sie können auf diese Dashboards in der ServiceNow-Konsole zugreifen, indem Sie die Seite Alle > Google SCC ITSM > Dashboards oder Alle > Google SCC SIR > Dashboards aufrufen.

Übersichts-Dashboard

Das Dashboard Übersicht enthält eine Reihe von Diagrammen, in denen die Gesamtzahl der Ergebnisse in Ihrer Organisation nach Schweregrad, Kategorie und Status angezeigt wird. Die Ergebnisse werden aus den integrierten Diensten von Security Command Center kompiliert, z. B. Security Health Analytics, Web Security Scanner, Event Threat Detection und Container Threat Detection sowie alle integrierten Dienste, die Sie aktivieren.

Sie können den Zeitraum und die Organisations-ID festlegen, um Inhalte zu filtern.

Zusätzliche Diagramme zeigen, welche Kategorien, Projekte und Assets die meisten Ergebnisse generieren.

Assets-Dashboard

Im Dashboard Assets wird ein Diagramm mit Google Cloud-Assets nach Asset-Typ angezeigt.

Sie können Asset-Daten nach Organisations-ID filtern.

Audit-Logs-Dashboard

Im Dashboard Audit-Logs werden eine Reihe von Diagrammen und Tabellen angezeigt, die Informationen zum Audit-Log enthalten. Im Dashboard sind Audit-Logs zu Administratoraktivitäten, Datenzugriff, Systemereignissen und Audit-Logs zu abgelehnten Richtlinien enthalten. Die Tabelle enthält die Zeit, den Lognamen, den Schweregrad, den Dienstnamen, den Ressourcennamen und den Ressourcentyp.

Sie können die Daten nach Zeitraum und Organisations-ID filtern.

Ergebnis-Dashboard

Das Dashboard Ergebnisse enthält eine Tabelle mit den 1.000 neuesten Ergebnissen. Die Tabellenspalte enthält Elemente wie Kategorie, Asset-Name, Quellname, Sicherheitsmarkierungen, Ergebnisklasse und Schweregrad.

Sie können die Daten nach Zeitraum, Organisations-ID, Schweregrad, Status oder Ergebnisklasse filtern. Wenn Sie die automatische Erstellung von Vorfällen eingerichtet haben, enthält das Dashboard einen Link zum Vorfall.

Quellen-Dashboard

Im Dashboard Quellen wird eine Tabelle aller Sicherheitsquellen angezeigt. Tabellenspalten enthalten den Namen, den Anzeigenamen und die Beschreibung.

Sie können die Organisations-ID festlegen, um Inhalte zu filtern.

Vorfall manuell erstellen

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  3. Klicken Sie auf die Feststellung, für die Sie einen Vorfall erstellen möchten.

  4. Klicken Sie auf der Seite mit den Ergebnissen für Google SCC ITSM auf Vorfall erstellen und für Google SCC SIR auf Sicherheitsvorfall erstellen.

Status eines Ergebnisses ändern

Sie können den Status von Ergebnissen von „aktiv“ zu „inaktiv“ oder umgekehrt ändern.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Ergebnisse.

  2. Klicken Sie auf die Feststellung, für die Sie den Status ändern möchten.

  3. Klicken Sie auf der Seite „Ergebnisse“ auf Aktives Ergebnis oder Inaktives Ergebnis.

  4. Klicken Sie auf OK.

Apps deinstallieren

Sie müssen ServiceNow-Systemadministrator sein, um diese Aufgabe ausführen zu können.

  1. Suchen Sie in der ServiceNow-Konsole auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  2. Wählen Sie Installiert aus.

  3. Wählen Sie Google SCC ITSM oder Google SCC SIR aus und klicken Sie auf Deinstallieren.

Beschränkungen

In diesem Abschnitt werden die Einschränkungen dieser Integration beschrieben.

  • Pro API-Aufruf können maximal 1.000 Assets, Ergebnisse, Quellen oder Prüfprotokolle abgerufen werden.

  • Wenn die Antwort auf den Findings API-Aufruf einen der Codes 429/5XX enthält, wird der Vorgang nach 60 Sekunden dreimal wiederholt. Andernfalls schlägt der Vorgang fehl. So ändern Sie die Reaktionszeit:

    1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

    2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Systemeigenschaften.

    3. Legen Sie für das Feld Maximale Anzahl der Wiederholungen bei ungültiger Antwort vom Google SCC (in Zahlen) eine Zahl fest, die größer als 3 ist.

    4. Klicken Sie auf Speichern.

Anwendungslogs aufrufen.

So rufen Sie die Logs für die App auf:

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Verwaltung > Anwendungsprotokolle.

Fehlerbehebung

Die App kann nicht über den ServiceNow Store installiert werden

  1. Prüfen Sie, ob Sie als ServiceNow-Systemadministrator angemeldet sind.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Alle verfügbaren Anwendungen > Alle.

  3. Prüfen Sie, ob die App auf dem Tab Installiert angezeigt wird.

Neuer Nutzer kann nicht erstellt werden

Wenn Sie die Releaseversion „Rome“ verwenden, finden Sie unter Nutzer erstellen eine Anleitung.

Daten können nicht abgerufen werden

Dieses Problem kann beim Abrufen von Ergebnissen, Assets, Quellen oder Audit-Logs auftreten. In diesem Fall wird die Meldung „Datenaufnahme für Profil PROFILE_NAME wird gestartet“ angezeigt.

  1. Melden Sie sich in der ServiceNow-Konsole als Google SCC ITSM- oder Google SCC SIR-Administrator an.

  2. Suchen Sie auf dem Tab Alle nach Google SCC ITSM oder Google SCC SIR und klicken Sie auf Verwaltung > Systemeigenschaften.

  3. Prüfen Sie, ob die folgenden Felder nicht leer sind:

    • Maximale Anzahl der Wiederholungsversuche bei einer ungültigen Antwort vom Google SCC (in Zahlen)

    • Zeitfenster, das nach Erreichen des Anfragelimits abgewartet werden muss, bevor eine weitere Anfrage gesendet werden kann (in Millisekunden)

  4. Wenn die Felder leer sind, legen Sie die Werte so fest:

    • Legen Sie im Feld Maximale Anzahl von Wiederholungsversuchen bei einer ungültigen Antwort vom Google SCC (in Zahlen) den Wert 3 fest.

    • Legen Sie für Zeitfenster, nach dem nach Erreichen des Anfragelimits gewartet wird, bevor eine weitere Anfrage gestellt wird (in Millisekunden) den Wert 60000 fest.

  5. Klicken Sie auf Speichern.

Einem Fall können nicht mehr als 250 Arbeitsnotizen oder Aktivitäten hinzugefügt werden

  1. Melden Sie sich als Systemadministrator in der ServiceNow-Konsole an.

  2. Suchen Sie in der Navigationsleiste nach sys_properties.list.

  3. Erstellen Sie im Fenster Systemeigenschaften den Filter Name ist glide.history.max_entries.

  4. Klicken Sie auf Ausführen.

  5. Legen Sie im Fenster „Eigenschaften“ für Wert eine Zahl fest, die größer als 250 ist.

  6. Klicken Sie auf Aktualisieren.

Anhang wird nicht unterstützt

  1. Melden Sie sich als Systemadministrator in der ServiceNow-Konsole an.

  2. Suchen Sie auf dem Tab Alle nach Systemanwendungen und klicken Sie auf Sicherheit.

  3. Prüfen Sie auf der Seite Eigenschaften des Sicherheitssystems die Liste der Erweiterungen in der Liste der Dateiendungen (durch Kommas getrennt), die über das Dialogfeld „Anhänge“ an Dokumente angehängt werden können. Die Erweiterungen dürfen keinen Punkt (.) enthalten,z.B. xls,xlsx,doc oder docx. Lassen Sie das Feld leer, um alle Erweiterungen zuzulassen.

Maximale Ausführungszeit überschritten

Diese Meldung wird angezeigt, wenn Sie versuchen, auf die Dashboards zuzugreifen.

Eine Lösung finden Sie unter Auf der Startseite wird die Meldung „Widget abgebrochen – maximale Ausführungszeit überschritten“ angezeigt.

Nächste Schritte