Esta página explica como enviar automaticamente descobertas, recursos, registros de auditoria e fontes de segurança do Security Command Center para o ServiceNow. Também descreve como gerenciar os dados exportados.
O ServiceNow oferece suporte para gerenciamento técnico, incluindo a funcionalidade de atendimento ao cliente. O sistema de gerenciamento dele ajuda a automatizar processos e eventos de TI intensivos de tarefas usando fluxos de trabalho digitais e portais de serviço dos funcionários.
Versões compatíveis
É possível enviar informações do Security Command Center para o gerenciamento de servidores de TI (ITSM, na sigla em inglês) do ServiceNow ou para a resposta de incidente de segurança (SIR, na sigla em inglês) do ServiceNow.
O Security Command Center oferece suporte a integrações com as seguintes versões do ServiceNow:
- Vancouver
- Utah
Se você estiver usando uma versão anterior, como Roma, San Diego ou Tóquio, recomendamos migrar para a versão mais recente com suporte.
Para começar a usar o ServiceNow, consulte Primeiras etapas.
Antes de começar
Você precisa ser um administrador do sistema do ServiceNow para concluir algumas das tarefas deste guia. As tarefas restantes exigem que você crie outros usuários, conforme descrito em Criar usuários para o app.
Antes de se conectar ao ServiceNow, você precisa criar uma conta de serviço do Identity and Access Management (IAM) e conceder a ela os papéis do IAM no nível da organização e do projeto que o app SIR ou ITSM do Google SCC precisa.
Criar uma conta de serviço e conceder papéis do IAM
As etapas a seguir usam o console do Google Cloud. Para ver outros métodos, consulte os links no final desta seção.
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
- No mesmo projeto em que você cria os tópicos do Pub/Sub, use a página Contas de serviço no console do Google Cloud para criar uma conta de serviço. Veja instruções em Como criar e gerenciar contas de serviço.
Conceda à conta de serviço a este papel:
- Editor do Pub/Sub (
roles/pubsub.editor
)
- Editor do Pub/Sub (
Copie o nome da conta de serviço que você acabou de criar.
Use o seletor de projetos no console do Google Cloud para mudar para o nível da organização.
Abra a página IAM da organização:
Na página do IAM, clique em Conceder acesso. O painel de concessão de acesso é aberto.
No painel Conceder acesso, conclua as seguintes etapas:
- Na seção Adicionar principais no campo Novos principais, cole o nome da conta de serviço.
Na seção Atribuir papéis, use o campo Papel para conceder os seguintes papéis do IAM à conta de serviço:
- Editor administrador da Central de segurança (
roles/securitycenter.adminEditor
) - Editor de configurações de notificação da Central de segurança
(
roles/securitycenter.notificationConfigEditor
) - Leitor da organização (
roles/resourcemanager.organizationViewer
) - Leitor de recursos do Cloud (
roles/cloudasset.viewer
) Clique em Salvar. A conta de serviço aparece na guia Permissões da página IAM em Ver pelos principais.
Por herança, a conta de serviço também se torna uma conta principal em todos os projetos filhos da organização. Os papéis aplicáveis no nível do projeto são listados como papéis herdados.
Para mais informações sobre como criar contas de serviço e conceder papéis, consulte estes tópicos:
Forneça as credenciais para o ServiceNow
Para fornecer credenciais do IAM ao ServiceNow, crie uma chave de conta de serviço. Você precisará da chave da conta de serviço no formato JSON para concluir este guia. Se você estiver usando várias organizações do Google Cloud, adicione essa conta de serviço às outras organizações e conceda a ela os papéis do IAM descritos nas etapas 5 a 7 de Criar uma conta de serviço e conceder papéis do IAM.
Configurar notificações
Conclua estas etapas para cada organização do Google Cloud de onde você quer importar dados do Security Command Center.
Configure as notificações de localização da seguinte forma:
- Ative a API Security Command Center.
- Crie um filtro para exportar as descobertas e os recursos desejados.
Ative a API Cloud Asset no projeto.
Crie feeds para seus recursos. É preciso criar dois feeds no mesmo tópico do Pub/Sub, um para os recursos e outro para as políticas de gerenciamento de identidade e acesso (IAM).
- O tópico do Pub/Sub para recursos precisa ser diferente do usado para descobertas.
Para o feed dos recursos, use o seguinte filtro:
content-type=resource
Para o feed de políticas do IAM, use o seguinte filtro:
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
Crie um coletor de destino para os registros de auditoria. Essa integração usa um tópico do Pub/Sub como destino.
Você precisará dos IDs da organização e dos nomes de assinatura do Pub/Sub para configurar o ServiceNow.
Instalar o app para o ServiceNow
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
Acesse a loja ServiceNow e procure um dos seguintes apps:
Se você estiver executando o ITSM do ServiceNow, ITSM do SCC do Google
Se você estiver executando a SIR do ServiceNow, SIR do SCC do Google
Clique no app e em Instalar.
Digite suas credenciais do ID do ServiceNow e continue o processo de login.
No console do ServiceNow, na guia Todos, pesquise Aplicativos do sistema e clique em Todos os aplicativos disponíveis > Todos.
Selecione Não instalado. Uma lista de aplicativos é exibida.
Selecione o app ITSM do SCC do Google ou SIR do SCC do Google e clique em Instalar.
Configurar o app para o ServiceNow
Nesta seção, você vai criar os usuários necessários, configurar a conectividade e o ServiceNow para recuperar dados do Security Command Center.
Criar usuários para o app
Você precisa criar dois usuários para o app Google SCC ITSM ou Google SCC SIR e atribuir a eles os papéis apropriados.
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
No console do ServiceNow, pesquise Organização.
Clique em Organização > Usuários.
Clique em New.
Insira as informações da conta de administrador do app Google SCC ITSM ou do Google SCC SIR. Por exemplo, no campo ID do usuário, digite
google_scc_itsm_admin
para Google SCC ITSM ougoogle_scc_sir_admin
para Google SCC SIR.Selecione Enviar.
Repita as etapas 3 a 5 para criar uma conta de usuário para o app Google SCC ITSM ou Google SCC SIR. Por exemplo, no campo ID do usuário, digite
google_scc_itsm_user
para Google SCC ITSM ougoogle_scc_sir_user
para Google SCC SIR.Na lista Usuários, clique no nome de uma das contas que você acabou de criar.
Em Papéis, clique em Editar.
Adicione os papéis que se aplicam à conta:
Nome de usuário Papéis Administrador do ITSM do SCC do Google (google_scc_itsm_admin) - x_goog_scc_itsm.Google_SCC_ITSM_Admin
- itil
- itil_admin
- personalize_dictionary
- oauth_admin
Usuário do ITSM do SCC do Google (google_scc_itsm_user) - x_goog_scc_itsm.Google_SCC_ITSM_User
- itil
Administrador da SIR do SCC do Google (google_scc_sir_admin) - x_goog_scc_sir.Google_SCC_SIR_Admin
- sn_si.admin
- oauth_admin
Usuário da SIR do SCC do Google (google_scc_sir_user) - x_goog_scc_sir.Google_SCC_SIR_User
- sn_si.analyst
Clique em Save.
Repita as etapas 7 a 10 para atribuir papéis à outra conta.
Saia da sua conta e faça login com as contas que você acabou de criar para verificar senhas.
Configurar a autenticação com o Security Command Center
Conclua estas etapas para configurar a conectividade entre o Security Command Center e o ServiceNow. Para ser compatível com várias organizações, preencha esta seção para cada uma delas.
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
Crie um certificado do Java Keystore com o arquivo JSON que contém a chave da conta de serviço. Para acessar instruções, consulte Criar um certificado Java KeyStore (Xanadu).
No console do ServiceNow, na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Configuração guiada.
Clique em Começar.
Em Configuração de autenticação, clique em Primeiras etapas.
Na página de tarefas, em Criar certificado X.509, clique em Configurar.
Digite as seguintes informações:
Nome: um nome exclusivo para o certificado
Formato:
PEM
Tipo: Java Key Store
Clique no ícone Gerenciar anexos e adicione o certificado do Java Keystore (formato .jks) gerado na etapa 1.
Clique no ícone Fechar.
Selecione Enviar.
Na página de tarefas, em Criar certificado X.509, clique em Marcar como concluída.
Na página de tarefas, em Criar chave JWT, clique em Configurar.
Digite as seguintes informações:
Nome: um nome exclusivo para a chave
Assinatura Keystore: o nome do certificado especificado na etapa 7
Algoritmo de assinatura:
RSA 256
Chave de assinatura: a senha do arquivo .jks que você criou na etapa 1
Selecione Enviar.
Na página de tarefas, em Criar chave JWT, clique em Marcar como concluída.
Na página de tarefas, em Criar provedor JWT, clique em Configurar.
Digite as seguintes informações:
Nome: um nome exclusivo para o provedor
Intervalo de expiração (s):
60
Configuração de assinatura: o nome da chave JWT que você especificou na etapa 13
Selecione Enviar.
Na página de tarefas, em Criar provedor JWT, clique em Marcar como concluída.
Na página de tarefas, em Criar configuração de autenticação, clique em Configurar.
Digite as seguintes informações:
Nome: um nome exclusivo para essa configuração
ID da organização: o ID da sua organização no Google Cloud
URL base: o URL da API Security Command Center, normalmente
https://securitycenter.googleapis.com
E-mail do cliente: o endereço de e-mail para as credenciais do IAM
Provedor JWT: o nome do provedor JWT que você especificou na etapa 17
Selecione Enviar. Uma mensagem de Autenticação bem-sucedida é exibida.
Feche a janela Criar configuração de autenticação.
Na página de tarefas, em Criar configuração de autenticação, clique em Marcar como concluída.
Configurar o gerenciamento de incidentes do Security Command Center
Conclua estas etapas para ativar a coleta de dados do Security Command Center. Para ser compatível com várias organizações, preencha esta seção para cada uma delas.
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
No console do ServiceNow, na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Configuração guiada.
Clique em Começar.
Em Configuração do incidente, clique em Primeiras etapas.
Para identificar os itens de configuração atuais (como recursos) que você quer adicionar aos incidentes criados com base nas descobertas do Security Command Center, use as regras de pesquisa da CI. Preencha os campos:
Na página de tarefas, em Regra de pesquisa da CI, clique em Configurar.
Clique em New.
Digite as seguintes informações:
Nome: um nome exclusivo para essa regra de consulta
Método de pesquisa: Correspondência de campos ou Script
Ordem: a ordem em que essa regra é avaliada em relação a outras
Campo de origem: o campo nos dados das descobertas que é a entrada para essa regra
Pesquisar em tabela: se houver correspondência em um campo, a tabela para encontrar o campo
Pesquisar em campo: se corresponder a um campo, o campo a ser correspondido com o campo de origem
Script: se você estiver usando um script, digite o script
Ativa: selecione para ativar essa regra de pesquisa
Selecione Enviar.
Repita essa etapa para itens de configuração adicionais, conforme necessário.
Na página de tarefas, em Regra de bloqueio da CI, clique em Marcar como concluída.
Na página de tarefas, em Configuração de ingestão, clique em Configurar.
Clique em New.
Digite as seguintes informações:
Campo Descrição Nome Um nome exclusivo para este registro Configuração do Security Command Center do Google A configuração de autenticação que você criou em Configurar a autenticação com o Security Command Center. É necessária uma configuração de ingestão para cada autenticação definida. Coleta de dados recorrente Selecione para permitir a ingestão regular de dados do Security Command Center Intervalo(segundo) O intervalo de tempo entre as atualizações de dados do Security Command Center Coleta de dados única Selecione para permitir a ingestão de dados do Security Command Center. A coleta de dados única não é compatível com registros de auditoria. Horário de início da coleta A data de início da ingestão de dados do Security Command Center Não selecione Ativo até concluir as etapas restantes nesta seção.
Para adicionar descobertas, siga estas etapas:
Na guia Descobertas, selecione Ativadas. Ao ativar as descobertas, você também ativa os recursos e as origens automaticamente.
Digite as seguintes informações:
Campo Descrição ID da assinatura de descobertas Para coleções de dados recorrentes, o nome da assinatura do Pub/Sub das descobertas Nome da descoberta do Google SCC O nome do campo do incidente a ser preenchido com o nome da descoberta (por exemplo, "Descrição"). Estado da descoberta do Google SCC O nome do campo do incidente a ser preenchido com o estado da descoberta (por exemplo, "Descrição"). Indicador de descoberta do Google SCC Nome do campo do incidente a ser preenchido com o indicador de descoberta (por exemplo, "Descrição"). Nome do recurso da descoberta do Google SCC O nome do campo do incidente a ser preenchido com o nome do recurso da descoberta (por exemplo, "Descrição"). URI externo da descoberta do SCC do Google O nome do campo do incidente a ser preenchido com o URI que, se disponível, aponta para uma página da Web fora do Security Command Center, onde podem ser encontradas informações adicionais sobre a descoberta. Aplicar filtros Disponível para coleta de dados única, selecione para especificar quais projetos, estados, gravidade ou categorias serão incluídos Nome do projeto O nome do projeto do qual você quer recuperar as descobertas, quando a opção Aplicar filtros estiver selecionada Estado Indica se as descobertas estão ativas ou inativas, quando a opção Aplicar filtros está selecionada Gravidade A gravidade das descobertas, quando a opção Aplicar filtros estiver selecionada Categoria A categoria da qual você quer recuperar as descobertas, quando a opção Aplicar filtros estiver selecionada
Para adicionar recursos, siga estas etapas:
Na guia Recursos, selecione Ativado.
No campo ID da assinatura do recurso, para coleções de dados recorrentes, insira o nome da assinatura do Pub/Sub para recursos.
Para adicionar fontes de segurança, na guia Fontes, selecione Ativado.
Para adicionar registros de auditoria, siga estas etapas:
Na guia Registros de auditoria, selecione Ativado.
No campo ID dos registros de auditoria, para coleções de dados recorrentes, insira o nome da assinatura do Pub/Sub para registros de auditoria.
Selecione Enviar.
Se você receber a mensagem de que a configuração está inativa, clique em OK. Você ativará a configuração posteriormente neste procedimento.
Na página de tarefas, em Configuração de ingestão, clique em Marcar como concluída.
Se você quiser que os incidentes sejam criados com base em descobertas, siga estas etapas:
Na página de tarefas, em Critérios de criação de incidente (para o SCC do Google para ITSM) ou Critérios de criação do incidente de segurança (para o SCC do Google para SIR), clique em Configurar.
Clique no nome da configuração de incidente que você criou.
Na página Configuração de ingestão, role para baixo e clique na guia Lista de critérios de criação de incidente (para o Google SCC para ITSM) ou Critérios de criação de incidente de segurança (para o Google SCC para SIR).
Clique em New.
Digite as seguintes informações:
Condição: a condição dinâmica em que um incidente é criado, com base no campo. Por exemplo, é possível criar incidentes para descobertas com o campo Gravidade definido como Alta.
Ordem: a ordem desta condição, relativa a outras condições.
Selecione Enviar.
Repita as etapas de D a F para cada condição em que você quer que os incidentes sejam criados.
Feche a página Configuração de ingestão.
Na página "Tarefas", em Critérios de criação de incidentes (para o SCC do Google para ITSM) ou Critérios de criação de incidente de segurança (para o SCC do Google para SIR), clique em Marcar como concluído.
Se você quiser atribuir incidentes a um grupo, siga estas etapas:
Na página de tarefas, em Critérios do grupo de atribuições, clique em Configurar.
Clique no nome da configuração de incidente que você criou.
Na página Configuração de ingestão, role para baixo e clique na guia Lista de critérios do grupo de atribuições.
Clique em New.
Digite as seguintes informações:
Grupo de atribuições: o grupo ao qual os incidentes serão atribuídos.
Condição: a condição dinâmica em que um incidente é atribuído, com base no campo que você especificar. Por exemplo, você pode atribuir incidentes para as descobertas com o campo Classe de descoberta definido como Configuração incorreta.
Ordem: a ordem desta condição, relativa a outras condições.
Selecione Enviar.
Repita as etapas de D a F para cada grupo ao qual você quer atribuir incidentes.
Feche a página Configuração de ingestão.
Na página de tarefas, em Critérios do grupo de atribuições, clique em Marcar como concluída.
Na página de tarefas, em Ativar configuração de ingestão, clique em Configurar.
Clique no nome da configuração de incidente que você criou.
Selecione Ativo.
Para começar a coletar dados, clique em Coletar dados.
Clique em Atualizar.
Na página de tarefas, em Configuração de ingestão, clique em Marcar como concluída.
Verificar a configuração
Conclua estas etapas para verificar se o ServiceNow está recuperando dados do Security Command Center.
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
No console do ServiceNow, clique na guia Todos.
Pesquise Google SCC ITSM ou Google SCC SIR e clique em Configuração de ingestão.
Verifique o estado para confirmar se os dados estão sendo coletados.
Pesquise Google SCC ITSM ou Google SCC SIR e clique em um dos Recursos, Descobertas, Fontes ou Registros de auditoria. Os registros que estão sendo adicionados a cada um dos dados que você ativou são exibidos. Se tiver configurado a criação automática de incidentes, na configuração Descobertas, você poderá conferir incidentes relacionados a cada descoberta que correspondem aos critérios especificados.
Ver os painéis
O app Google SCC ITSM permite visualizar os dados do Security Command Center. Ele inclui cinco painéis: Visão geral, Fontes, Descobertas, Recursos e Registros de auditoria.
Acesse esses painéis no console do ServiceNow em Todos > Google SCC ITSM > Painéis ou na página Todos > Google SCC SIR > Painéis.
Painel de visão geral
O painel Visão geral contém uma série de gráficos que exibe o número total de descobertas na sua organização por nível de gravidade, categoria e estado. As descobertas são compiladas nos serviços integrados do Security Command Center, como: Security Health Analytics, Web Security Scanner, Event Threat Detection e Container Threat Detection, além de todos os serviços integrados que você ativar.
Para filtrar o conteúdo, defina o período e o ID da organização.
Outros gráficos mostram quais categorias, projetos e recursos estão gerando mais descobertas.
Painel de recursos
O painel Recursos exibe um gráfico de recursos do Google Cloud, categorizado por tipo.
É possível filtrar os dados de recursos pelo ID da organização.
Painel de registros de auditoria
O painel Registros de auditoria exibe uma série de gráficos e tabelas que mostra informações sobre o registro de auditoria. Os registros de auditoria incluídos no painel são atividades do administrador, acesso a dados, eventos do sistema e registros de auditoria negados pela política. A tabela inclui a hora, o nome do registro, a gravidade, o nome do serviço, o nome do recurso e o tipo de recurso.
É possível filtrar os dados por período e ID da organização.
Painel de descobertas
O painel Descobertas inclui uma tabela das mil descobertas mais recentes. A coluna da tabela inclui itens como categoria, nome do recurso, nome da fonte, marcas de segurança, classe de descoberta e gravidade.
É possível filtrar os dados por período, ID da organização, gravidade, estado ou classe da descoberta. Quando você configura a criação automática de incidentes, o painel inclui um link para o incidente.
Painel de origens
O painel Origens mostra uma tabela com todas as origens de segurança. As colunas da tabela incluem nome, nome de exibição e descrição.
Para filtrar o conteúdo, defina o ID da organização.
Criar um incidente manualmente
Faça login no console do ServiceNow como administrador do Google SCC ITSM ou Google SCC SIR.
Na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Descobertas.
Clique na descoberta em que você quer criar um incidente.
Na página de descobertas, em Google SCC ITSM, clique em Criar incidente e, em Google SCC SIR, clique em Criar incidente de segurança.
Mudar o estado de uma descoberta
Você pode mudar o estado de descobertas de ativo para inativo ou de inativo para ativo.
No console do ServiceNow, na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Descobertas.
Clique na descoberta cujo estado você quer alterar.
Na página de descobertas, clique em Descoberta ativa ou Descoberta inativa.
Clique em OK.
Desinstalar os apps
Você precisa ser um administrador do sistema do ServiceNow para concluir esta tarefa.
No console do ServiceNow, na guia Todos, pesquise Aplicativos do sistema e clique em Todos os aplicativos disponíveis > Todos.
Selecione Instalado.
Selecione Google SCC ITSM ou Google SCC SIR e clique em Desinstalar.
Limitações
Esta seção descreve as limitações relacionadas a essa integração.
O número máximo de recursos, descobertas, origens ou registros de auditoria que podem ser buscados por chamada de API é 1.000.
Se a resposta de chamada da API Findings for 429/5XX, o aplicativo vai tentar novamente após 60 segundos por três tentativas. Se o erro persistir, o processo falhará. Para mudar o tempo de resposta, faça o seguinte:
Faça login no console do ServiceNow como administrador do Google SCC ITSM ou Google SCC SIR.
Na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Propriedades do sistema.
Defina o campo Número máximo de tentativas para uma resposta inválida do Google SCC (em números) como um número maior que 3.
Clique em Save.
Veja os registros do aplicativo.
Para consultar os registros do app, faça o seguinte:
Faça login no console do ServiceNow como administrador do Google SCC ITSM ou Google SCC SIR.
Na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Administração > Registros de aplicativo.
Solução de problemas
Não é possível instalar o app pela loja do ServiceNow
Verifique se você fez login como administrador do sistema ServiceNow.
Na guia Todos, pesquise Aplicativos do sistema e clique em Todos os aplicativos disponíveis > Todos.
Confira se o app aparece na guia Instalados.
Não é possível criar um novo usuário
Se você estiver usando a versão de lançamento Roma, leia as instruções em Criar um usuário.
Não é possível buscar os dados
Esse problema pode ocorrer durante a busca de descobertas, recursos, fontes ou registros de auditoria, e a mensagem "Iniciando ingestão de dados do perfil: PROFILE_NAME
" é exibida.
Faça login no console do ServiceNow como administrador do Google SCC ITSM ou Google SCC SIR.
Na guia Todos, pesquise Google SCC ITSM ou Google SCC SIR e clique em Administração > Propriedades do sistema.
Verifique se os seguintes campos não estão vazios:
Número máximo de novas tentativas para uma resposta inválida do Google SCC (em números)
Janela de tempo para aguardar antes de fazer outra solicitação após atingir o limite (em milissegundos)
Se os campos estiverem vazios, defina os valores da seguinte maneira:
Defina o campo Número máximo de tentativas para uma resposta inválida do Google SCC (em números) como
3
.Defina Janela de tempo para aguardar antes de fazer outra solicitação após atingir o limite (em milissegundos) como
60000
.
Clique em Save.
Não é possível adicionar mais de 250 notas de trabalho ou atividades a um incidente
Faça login no console do ServiceNow como administrador do sistema.
Na barra de navegação, pesquise sys_properties.list.
Na janela Propriedades do sistema, crie um filtro O nome é glide.history.max_entries.
Clique em Executar.
Na janela de propriedade, defina Valor como um número maior que 250.
Clique em Atualizar.
O anexo não é compatível
Faça login no console do ServiceNow como administrador do sistema.
Na guia Todos, pesquise Aplicativos do sistema e clique em Segurança.
Na página Propriedades do sistema de segurança, verifique a lista de extensões na Lista de extensões de arquivo (separada por vírgula) que pode ser anexada aos documentos na caixa de diálogo "Anexar". As extensões não podem incluir ponto (.), como xls, xlsx, doc, docx. Deixe em branco para permitir todas as extensões.
Tempo máximo de execução excedido
Você recebe essa mensagem ao tentar acessar os painéis.
Para uma resolução, consulte a mensagem"Widget cancelado: tempo máximo de execução excedido" aparece na página inicial.
A seguir
Saiba mais sobre como configurar notificações de localização no Security Command Center.
Leia sobre como filtrar notificações de descoberta no Security Command Center.