このページでは、Security Command Center の検出結果、アセット、監査ログ、セキュリティ ソースを ServiceNow に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。
ServiceNow は、ヘルプデスク機能を含む技術的な管理サポートを提供します。この管理システムは、デジタル ワークフローと従業員向けのサービス ポータルを使用して、タスクの負荷が高い IT プロセスとイベントを自動化するのに役立ちます。
サポート対象のバージョン
Security Command Center の情報は、ServiceNow IT Server Management(ITSM)または ServiceNow のセキュリティインシデントレスポンス(SIR)に送信できます。
Security Command Center は、次の ServiceNow バージョンとの統合をサポートしています。
- バンクーバー
- ユタ
Rome、San Diego、Tokyo などの以前のバージョンを使用している場合は、サポートされている最新バージョンに移行することをおすすめします。
ServiceNow の使い方については、スタートガイドをご覧ください。
始める前に
このガイドで説明するタスクの一部は、ServiceNow システム管理者を対象としています。残りのタスクでは、アプリのユーザーを作成するで説明されているように、他のユーザーを作成する必要があります。
ServiceNow に接続する前に、Identity and Access Management(IAM)サービス アカウントを作成し、Google SCC SIR アプリまたは Google SCC ITSM アプリが必要とする組織レベルとプロジェクト レベルの IAM ロールの両方をアカウントに付与する必要があります。
サービス アカウントの作成と IAM ロールの付与
次の手順では、Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
- Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。
サービス アカウントに次のロールを付与します。
- Pub/Sub 編集者(
roles/pubsub.editor
)
- Pub/Sub 編集者(
作成したサービス アカウントの名前をコピーします。
Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。
組織の [IAM] ページを開きます。
IAM ページで、[アクセス権を付与] をクリックします。[アクセス権を付与] パネルが開きます。
[アクセス権を付与] パネルで、次の操作を行います。
- [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。
[ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。
- セキュリティ センター管理編集者(
roles/securitycenter.adminEditor
) - セキュリティ センター通知構成編集者(
roles/securitycenter.notificationConfigEditor
) - 組織閲覧者(
roles/resourcemanager.organizationViewer
) - Cloud Asset 閲覧者(
roles/cloudasset.viewer
) [保存] をクリックします。サービス アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。
また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなります。プロジェクト レベルで適用されるロールが、継承されたロールとしてリストされます。
サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。
認証情報を ServiceNow に提供する
ServiceNow に IAM 認証情報を提供するには、サービス アカウント キーを作成します。このガイドを完了するには、JSON 形式のサービス アカウント キーが必要です。複数の Google Cloud 組織を使用している場合は、このサービス アカウントを他の組織に追加し、サービス アカウントを作成して IAM のロールを付与するの手順 5~7 で説明されている IAM のロールを付与します。
通知の構成
Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。
次のように検出結果の通知を設定します。
- Security Command Center API を有効にします。
- 目的の検出結果とアセットをエクスポートするフィルタを作成します。
プロジェクトで Cloud Asset API を有効にします。
アセットにフィードを作成します。同じ Pub/Sub トピックに、リソース用と Identity and Access Management(IAM)ポリシー用の 2 つのフィードを作成する必要があります。
- アセットの Pub/Sub トピックは、検出結果に使用するものとは別にする必要があります。
リソースのフィードに次のフィルタを使用します。
content-type=resource
IAM ポリシー フィードの場合は、次のフィルタを使用します。
content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"
監査ログの宛先シンクを作成します。この統合では、宛先として Pub/Sub トピックを使用します。
ServiceNow を構成するには、組織 ID と Pub/Sub サブスクリプション名が必要になります。
ServiceNow 用のアプリをインストールする
このタスクを完了するには、ServiceNow システム管理者である必要があります。
ServiceNow ストアにアクセスして、次のいずれかのアプリを検索します。
ServiceNow ITSM を実行している場合は Google SCC ITSM
ServiceNow SIR を実行している場合は Google SCC SIR
アプリをクリックして、[Get] をクリックします。
ServiceNow ID の認証情報を入力し、ログイン プロセスに進みます。
ServiceNow コンソールの [All] タブで、「System Applications」を検索し、[All Available Applications] > [All] をクリックします。
[Not installed] を選択します。アプリケーションのリストが表示されます。
[Google SCC ITSM] アプリまたは [Google SCC SIR] アプリを選択して、[インストール] をクリックします。
ServiceNow 用にアプリを構成する
このセクションでは、必要なユーザーを作成して接続を構成し、Security Command Center のデータを取得するように ServiceNow を設定します。
アプリのユーザーを作成する
Google SCC ITSM アプリまたは Google SCC SIR アプリ用に 2 人のユーザーを作成し、適切なロールを割り当てる必要があります。
このタスクを完了するには、ServiceNow システム管理者である必要があります。
ServiceNow コンソールで [組織] を検索します。
[Organization] > [Users] をクリックします。
[New] をクリックします。
Google SCC ITSM アプリまたは Google SCC SIR アプリの管理者アカウントの情報を入力します。たとえば、[ユーザー ID] フィールドには、Google SCC ITSM の場合は「
google_scc_itsm_admin
」、Google SCC SIR の場合は「google_scc_sir_admin
」と入力します。[送信] をクリックします。
手順 3~5 を繰り返して、Google SCC ITSM アプリまたは Google SCC SIR アプリ用のユーザー アカウントを作成します。たとえば、[User ID] フィールドに「
google_scc_itsm_user
」(Google SCC ITSM の場合)または「google_scc_sir_user
」(Google SCC SIR の場合)と入力します。[Users] リストで、作成したいずれかのアカウントの名前をクリックします。
[Roles] で [Edit] をクリックします。
アカウントに適用されるロールを追加します。
ユーザー名 ロール Google SCC ITSM 管理者(google_scc_itsm_admin) - x_goog_scc_itsm.Google_SCC_ITSM_Admin
- itil
- itil_admin
- personalize_dictionary
- oauth_admin
Google SCC ITSM ユーザー(google_scc_itsm_user) - x_goog_scc_itsm.Google_SCC_ITSM_User
- itil
Google SCC SIR 管理者(google_scc_sir_admin) - x_goog_scc_sir.Google_SCC_SIR_Admin
- sn_si.admin
- oauth_admin
Google SCC SIR ユーザー(google_scc_sir_user) - x_goog_scc_sir.Google_SCC_SIR_User
- sn_si.analyst
[保存] をクリックします。
ステップ 7~10 を繰り返して、他のアカウントにロールを割り当てます。
ご自分のアカウントでログアウトして、先ほど作成したアカウントでログインし、パスワードを確認します。
Security Command Center で認証を構成する
Security Command Center と ServiceNow の接続を設定するには、次の手順を完了します。複数の組織をサポートするには、組織ごとにこのセクションの手順を完了してください。
このタスクを完了するには、ServiceNow システム管理者である必要があります。
サービス アカウント キーを含む JSON ファイルから Java Keystore 証明書を作成します。手順については、Java キーストア証明書を作成する(Xanadu)をご覧ください。
ServiceNow コンソールの [All] タブで「Google SCC ITSM」または「Google SCC SIR」を検索して [Guided Setup] をクリックします。
[利用開始] をクリックします。
[認証構成] で [利用開始] をクリックします。
タスクページの [Create X.509 Certificate] で、[Configure] をクリックします。
次の情報を入力します。
Name: この証明書の一意の名前
形式:
PEM
タイプ: Java キーストア
Manage Attachments アイコンをクリックし、ステップ 1 で生成した Java キーストア証明書(.jks 形式)を追加します。
[Close] アイコンをクリックします。
[送信] をクリックします。
タスクページの [Create X.509 Certificate] で、[Mark as Complete] をクリックします。
タスクページの [Create JWT Key] で、[Configure] をクリックします。
次の情報を入力します。
Name: このキーの一意の名前
Signing Keystore: 手順 7 で指定した証明書名
署名アルゴリズム:
RSA 256
署名鍵: ステップ 1 で作成した .jks ファイルのパスワード
[送信] をクリックします。
タスクページの [Create JWT Key] で、[Mark as Complete] をクリックします。
タスクページの [Create JWT Provider] で、[Configure] をクリックします。
次の情報を入力します。
Name: このプロバイダの一意の名前
Expiry Interval (sec):
60
Signing Configuration: 手順 13 で指定した JWT 鍵名
[送信] をクリックします。
タスクページの [Create JWT Provider] で、[Mark as Complete] をクリックします。
タスクページの [Create Authentication Configuration] で、[Configure] をクリックします。
次の情報を入力します。
Name: この構成の一意の名前
Organization ID: Google Cloud における組織の ID
Base URL: Security Command Center API の URL(通常は
https://securitycenter.googleapis.com
)Client Email: IAM 認証情報のメールアドレス
JWT Provider: 手順 17 で指定した JWT プロバイダ名
[送信] をクリックします。認証成功のメッセージが表示されます。
[Create Authentication Configuration] ウィンドウを閉じます。
タスクページの [Create Authentication Configuration] で、[Mark as Complete] をクリックします。
Security Command Center のインシデント管理を構成する
Security Command Center からのデータ収集を有効にするには、次の手順を完了します。複数の組織をサポートするには、組織ごとにこのセクションの手順を完了してください。
このタスクを完了するには、ServiceNow システム管理者である必要があります。
ServiceNow コンソールの [すべて] タブで、[Google SCC ITSM] または [Google SCC SIR] を検索して [ガイド付き設定] をクリックします。
[利用開始] をクリックします。
[Incident Configuration] で [Get Started] をクリックします。
Security Command Center の検出結果から作成するインシデントに追加する既存の構成アイテム(アセットなど)を特定するには、CI ルックアップ ルールを使用します。次の手順に沿って操作します。
タスクページの [CI Lookup Rule] で、[Configure] をクリックします。
[New] をクリックします。
次の情報を入力します。
Name: この検索ルールの一意の名前
Lookup method: Field Matching または Script
Order: このルールの評価順序。他のルールとの比較を行います。
Source Field: このルールの入力である、検出結果データ内のフィールド
Search On Table: フィールド マッチングで、フィールドを検索するテーブル
Search On Field: フィールド マッチングで Source Field と照合するフィールド
スクリプト: スクリプトを使用する場合は、スクリプトを入力します。
Active: このルックアップ ルールを有効にする場合に選択します。
[送信] をクリックします。
必要に応じて、追加の構成項目についてこのステップを繰り返します。
タスクページの [CI Lockup Rule] で、[Mark as Complete] をクリックします。
タスクページの [Ingestion Configuration] で、[Configure] をクリックします。
[New] をクリックします。
次の情報を入力します。
フィールド 説明 名前 このレコードの一意の名前 Google SCC の構成 Security Command Center で認証を構成するで作成した認証構成。構成した認証ごとに取り込み構成が 1 つ必要です。 定期的なデータ収集 Security Command Center からの定期的なデータ取り込みを許可する場合に選択します 間隔(秒) Security Command Center からのデータの更新間隔 1 回限りのデータ収集 Security Command Center からのデータ取り込みを許可する場合に選択します1 回限りのデータ収集では、監査ログはサポートされません。 収集の開始時刻 Security Command Center からのデータ取り込みを開始する日付 このセクションの残りの手順が完了するまで、[Active] を選択しないでください。
検出結果を追加するには、次の手順を完了します。
[Findings] タブで [Enabled] を選択します。検出を有効にすると、アセットとソースも自動的に有効になります。
次の情報を入力します。
フィールド 説明 検出結果のサブスクリプション ID 定期的なデータ収集の場合は、検出結果の Pub/Sub サブスクリプションの名前 Google SCC Finding Name 検出結果名を入力するインシデント フィールドの名前(例: 説明) Google SCC Finding State 検出結果の状態を挿入するインシデント フィールドの名前(例: Description) Google SCC の検出結果インジケーター 検出結果インジケーターを入力するインシデント フィールドの名前(例: 説明) Google SCC Finding Resource Name 検出結果のリソース名を入力するインシデント フィールドの名前(例: 説明) Google SCC Finding External URI URI を入力するインシデント フィールドの名前。この URI は、可能な場合に検出結果に関する追加情報を見つけることができる Security Command Center の外部にあるウェブページを参照します。 フィルタを適用 1 回限りのデータ収集で利用可能。含めるプロジェクト、状態、重大度、カテゴリを指定する場合に選択します プロジェクト名 [Apply Filters] を選択した場合に、検出結果を取得するプロジェクトの名前 状態 検出結果が有効か無効か([フィルタの適用] が選択されている場合) 重大度 [Apply Filters] を選択した場合の検出結果の重大度 カテゴリ 検出結果を取得するカテゴリ([フィルタの適用] が選択されている場合)
アセットを追加するには、次の手順を完了します。
[Assets] タブで [Enabled] を選択します。
[Asset Subscription Id] フィールドに、定期的なデータ収集を行うアセットの Pub/Sub サブスクリプション名を入力します。
セキュリティ ソースを追加するには、[Sources] タブで [Enabled] を選択します。
監査ログを追加するには、次の手順を完了します。
[Audit Logs] タブで、[Enabled] を選択します。
[Audit Logs Subscription Id] フィールドに、定期的なデータ収集を行う監査ログの Pub/Sub サブスクリプション名を入力します。
[送信] をクリックします。
構成が有効でないというメッセージが表示された場合は、[OK] をクリックします。この構成はこの手順の後半で有効にします。
タスクページの [Ingestion Configuration] で、[Mark as Complete] をクリックします。
検出結果からインシデントを作成する場合は、次の操作を行います。
[タスク] ページの [インシデント作成基準](Google SCC for ITSM の場合)または [セキュリティ インシデントの作成基準](Google SCC for SIR の場合)で、[構成] をクリックします。
作成したインシデント構成の名前をクリックします。
[Ingestion Configuration] ページで、下にスクロールして [Incident Creation Criteria List](Google SCC for ITSM の場合)または [Security Incident Creation Criteria](Google SCC for SIR の場合)をクリックします。
[New] をクリックします。
次の情報を入力します。
条件: フィールドに基づいて、インシデントが作成される際の動的条件。たとえば、[Severity] フィールドを [High] に設定して検出結果のインシデントを作成できます。
順序: この条件の順序。他の条件に対する相対的な順序です。
[送信] をクリックします。
インシデントを作成する条件ごとに、手順 d から手順 f を繰り返します。
[Ingestion Configuration] ページを閉じます。
タスクページの [インシデント作成基準](Google SCC for ITSM の場合)または [セキュリティ インシデントの作成基準](Google SCC for SIR の場合)で、[完了とする] をクリックします。
インシデントをグループに割り当てる場合は、次の手順を行います。
タスクページの [割り当てグループの条件] で、[構成] をクリックします。
作成したインシデント構成の名前をクリックします。
[Ingestion Configuration] ページで下にスクロールし、[Assignment Group Criteria List] タブをクリックします。
[New] をクリックします。
次の情報を入力します。
Assignment Group: インシデントを割り当てるグループ。
条件: 指定したフィールドに基づいて、インシデントを割り当てる際の動的な条件。たとえば、[検出結果クラス] フィールドが [構成ミス] に設定された検出結果のインシデントを割り当てることができます。
順序: この条件の順序。他の条件に対する相対的な順序です。
[送信] をクリックします。
インシデントを割り当てるグループごとに、ステップ d からステップ f を繰り返します。
[Ingestion Configuration] ページを閉じます。
タスクページの [Assignment Group Criteria] で、[Mark as complete] をクリックします。
タスクページの [Activate Ingestion Configuration] で、[Configure] をクリックします。
作成したインシデント構成の名前をクリックします。
[アクティブ] を選択します。
データの収集を開始するには、[Collect Data] をクリックします。
[更新] をクリックします。
タスクページの [Activate Ingestion Configuration] で、[Mark as Complete] をクリックします。
構成を確認する
ServiceNow が Security Command Center からデータを取得していることを確認するには、次の手順を行います。
このタスクを完了するには、ServiceNow システム管理者である必要があります。
ServiceNow コンソールで [All] タブをクリックします。
「Google SCC ITSM」または「Google SCC SIR」を検索して、[Ingestion Configuration] をクリックします。
状態を調べて、データが収集されていることを確認します。
[Google SCC ITSM] または [Google SCC SIR] を検索して、[アセット]、[検出結果]、[送信元]、または [監査ログ] のいずれかをクリックします。有効にした各データにレコードが追加されていることを確認します。自動インシデント作成を構成した場合は、[検出結果] 構成で、指定した条件に一致する各検出結果に関連するインシデントが表示されます。
ダッシュボードを表示する
Google SCC ITSM アプリでは、Security Command Center でデータを可視化できます。5 つのダッシュボード(概要、ソース、検出結果、アセット、監査ログ)が用意されています。
これらのダッシュボードには、ServiceNow コンソールで、[すべて] > [Google SCC ITSM] > [ダッシュボード] ページまたは [すべて] > [Google SCC SIR] > [ダッシュボード] ページからアクセスできます。
[Overview] ダッシュボード
[Overview] ダッシュボードには、重要度レベル、カテゴリ、状態別に、組織で見つかった検出結果の合計数を表示する一連のグラフが表示されます。検出結果は、Security Command Center の組み込みサービス(Security Health Analytics、Web Security Scanner、Event Threat Detection、Container Threat Detection など)と、有効にした統合サービスから編集されます。
コンテンツをフィルタリングするには、期間と組織 ID を設定します。
追加のグラフには、最も多くの検出結果を生成したカテゴリ、プロジェクト、アセットが表示されます。
[Assets] ダッシュボード
[Assets] ダッシュボードには、Google Cloud アセットのグラフがアセットタイプ別に分類されて表示されます。
アセットデータは組織 ID でフィルタできます。
[Audit logs] ダッシュボード
[Audit logs] ダッシュボードには、監査ログ情報を示す一連のグラフとテーブルが表示されます。ダッシュボードに含まれる監査ログは、管理者のアクティビティ、データアクセス、システム イベント、ポリシーで拒否された監査ログです。テーブルには、時間、ログ名、重大度、サービス名、リソース名、リソースタイプが含まれます。
期間や組織 ID でデータをフィルタできます。
[Findings] ダッシュボード
[検出結果] ダッシュボードには、最新の 1,000 件の検出結果を含むテーブルが表示されます。テーブルの列には、カテゴリ、アセット名、ソース名、セキュリティ マーク、検出結果クラス、重大度などの項目が含まれています。
期間、組織 ID、重大度、状態、検出クラスでデータをフィルタできます。自動インシデント作成を設定すると、インシデントへのリンクが表示されます。
[Sources] ダッシュボード
[Sources] ダッシュボードに、すべてのセキュリティ ソースの表が表示されます。テーブルの列には、名前、表示名、説明が含まれています。
組織 ID を設定すると、コンテンツをフィルタできます。
インシデントを手動で作成する
ServiceNow コンソールに Google SCC ITSM または Google SCC SIR の管理者としてログインします。
[すべて] タブで [Google SCC ITSM] または [Google SCC SIR] を検索し、[検出結果] をクリックします。
インシデントを作成する検出結果をクリックします。
検出結果のページで、Google SCC ITSM の [Create Incident] をクリックし、Google SCC SIR の [Create Security Incident] をクリックします。
検出結果の状態を変更する
検出結果の状態は、アクティブから非アクティブに、または非アクティブからアクティブに変更できます。
ServiceNow コンソールの [すべて] タブで、[Google SCC ITSM] または [Google SCC SIR] を検索して [検出結果] をクリックします。
状態を変更する検出結果をクリックします。
[検出結果] ページで、[有効な検出結果] または [無効な検出結果] をクリックします。
[OK] をクリックします。
アプリをアンインストールする
このタスクを完了するには、ServiceNow システム管理者である必要があります。
ServiceNow コンソールの [All] タブで「System Applications」を検索し、[All Available Applications] > [All] をクリックします。
[Installed] を選択します。
[Google SCC ITSM] または [Google SCC SIR] を選択し、[Uninstall] をクリックします。
制限事項
このセクションでは、この統合に関連する制限事項について説明します。
API 呼び出しごとに取得可能なアセット、検出結果、ソース、監査ログの最大数は 1,000 です。
Findings API 呼び出しのレスポンスが 429/5XX のいずれかの場合は、60 秒後に 3 回の再試行が行われます。それでも失敗すると、プロセスが失敗します。応答時間を変更するには、次の手順を完了します。
ServiceNow コンソールに Google SCC ITSM または Google SCC SIR の管理者としてログインします。
[すべて] タブで [Google SCC ITSM] または [Google SCC SIR] を検索して、[システムのプロパティ] をクリックします。
[Number of max retries for an invalid response from Google SCC(in numbers)] に、3 より大きい数を設定します。
[保存] をクリックします。
アプリケーション ログを表示する
アプリのログを表示するには、次の操作を行います。
ServiceNow コンソールに Google SCC ITSM または Google SCC SIR の管理者としてログインします。
[すべて] タブで、[Google SCC ITSM] または [Google SCC SIR] を検索し、[管理] > [アプリケーション ログ] をクリックします。
トラブルシューティング
ServiceNow ストアからアプリをインストールできない
ServiceNow システム管理者としてログインしていることを確認します。
[すべて] タブで [システム アプリケーション] を検索し、[使用可能なすべてのアプリケーション] > [すべて] をクリックします。
アプリが [Installed] タブに表示されているかどうかを確認します。
新しいユーザーを作成できない
Rome リリース バージョンを使用している場合は、ユーザーを作成するの手順をご確認ください。
データを取得できない
この問題は、検出結果、アセット、ソース、監査ログの取得時に、「プロファイルのデータ取り込みの開始: PROFILE_NAME
」 メッセージが表示される場合に発生する可能性があります。
ServiceNow コンソールに Google SCC ITSM または Google SCC SIR の管理者としてログインします。
[すべて] タブで、[Google SCC ITSM] または [Google SCC SIR] を検索し、[管理] > [システム プロパティ] をクリックします。
次のフィールドが空でないことを確認します。
Google SCC からの無効なレスポンスに対する最大再試行回数(数値)
リクエスト上限に達した後、別のリクエストを実行するまでの待機時間(ミリ秒単位)
フィールドが空の場合は、次のように値を設定します。
[Number of max retries for an invalid response from Google SCC(in numbers)] フィールドを
3
に設定します。[リクエスト上限に達した後、別のリクエストを実行するまでの待機時間(ミリ秒)] を
60000
に設定します。
[保存] をクリックします。
インシデントに 250 個を超えるワークノートやアクティビティを追加できない
システム管理者として ServiceNow コンソールにログインします。
ナビゲーション バーで sys_properties.list を検索します。
[System Propries] ウィンドウで、「Name is glide.history.max_entries」というフィルタを作成します。
[実行] をクリックします。
プロパティ ウィンドウで、[Value] に 250 より大きい数値を設定します。
[更新] をクリックします。
添付ファイルがサポートされていない
システム管理者として ServiceNow コンソールにログインします。
[すべて] タブで [システム アプリケーション] を検索して [セキュリティ] をクリックします。
[セキュリティ システム プロパティ] ページの [添付ファイル ダイアログからドキュメントに添付できるファイル拡張子のリスト(カンマ区切り)。Extensions should not include the dot(.)e.g. xls,xlsx,doc,docx. すべての拡張機能を許可する場合は、空白のままにします。] フィールドで拡張機能のリストを確認します。
最大実行時間を超えた
ダッシュボードにアクセスしようとすると、このメッセージが表示されます。
解決策については、ホームページに表示される「Widget cancelled - Maximum execution time exceeded」というメッセージをご覧ください。
次のステップ
Security Command Center での検出結果の通知の設定について確認する。
Security Command Center での検出通知のフィルタリングについて確認する。