将 Security Command Center 数据发送到 ServiceNow

本页面介绍如何自动将 Security Command Center 发现结果、资产、审核日志和安全来源发送到 ServiceNow。还介绍了如何管理导出的数据。

ServiceNow 提供技术管理支持,包括服务台功能。其管理系统可帮助使用数字工作流和员工服务门户自动执行任务繁重的 IT 流程和事件。

支持的版本

您可以将 Security Command Center 信息发送到 ServiceNow IT 服务器管理 (ITSM) 或 ServiceNow 安全事件响应 (SIR)。

Security Command Center 支持与以下 ServiceNow 版本集成:

  • 温哥华
  • 犹他

如果您使用的是较低版本(例如罗马、圣地亚哥或东京),我们建议您迁移到最新的受支持版本。

如需开始使用 ServiceNow,请参阅开始使用

准备工作

您必须是 ServiceNow 系统管理员,才能完成本指南中的部分任务。您需要创建其他用户才能完成其余任务,如为应用创建用户中所述。

在连接到 ServiceNow 之前,您需要创建一个 Identity and Access Management (IAM) 服务账号,并向该账号授予 Google SCC SIR 应用或 Google SCC ITSM 应用所需的组织级层和项目级层 IAM 角色。

创建服务账号并授予 IAM 角色

以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号
  2. 授予该服务账号以下角色:

    • Pub/Sub Editor (roles/pubsub.editor)
  3. 复制您刚刚创建的服务账号的名称。

  4. 使用 Google Cloud 控制台中的项目选择器切换到组织级层。

  5. 打开组织的 IAM 页面:

    转到 IAM

  6. 在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。

  7. 授予访问权限面板中,完成以下步骤:

    1. 新的主账号字段的添加主账号部分,粘贴服务账号的名称。
    2. 分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:

    3. Security Center Admin Editor (roles/securitycenter.adminEditor)
    4. Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
    5. Organization Viewer (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)
    7. 点击保存。该服务账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。

      通过继承,该服务账号也会成为组织的所有子项目中的主账号。适用于项目级层的角色会列为继承的角色。

如需详细了解如何创建服务账号并授予角色,请参阅以下主题:

向 ServiceNow 提供凭据

如需向 ServiceNow 提供 IAM 凭据,请创建服务账号密钥。您需要 JSON 格式的服务账号密钥才能完成本指南中的操作。如果您使用多个 Google Cloud 组织,请将此服务账号添加到其他组织,并为其授予 IAM 角色(请参阅创建服务账号并授予 IAM 角色中的第 5 步到第 7 步)。

配置通知

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 设置发现结果通知,如下所示:

    1. 启用 Security Command Center API。
    2. 创建过滤条件以导出所需的发现结果和资产。
  2. 为您的项目启用 Cloud Asset API

  3. 为您的资产创建 Feed。您必须在同一 Pub/Sub 主题中创建两个 Feed,一个用于资源,另一个用于 Identity and Access Management (IAM) 政策。

    • 资产的 Pub/Sub 主题必须与用于发现结果的主题不同。
    • 对于资源的 Feed,请使用以下过滤条件:

      content-type=resource

    • 对于 IAM 政策 Feed,请使用以下过滤条件:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. 为审核日志创建目标接收器。此集成使用 Pub/Sub 主题作为目标位置。

您需要您的组织 ID 和 Pub/Sub 订阅名称来配置 ServiceNow。

安装适用于 ServiceNow 的应用

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 前往 ServiceNow 商店,搜索以下任一应用:

    • 如果您运行 ServiceNow ITSM,则为 Google SCC ITSM

    • 如果您运行 ServiceNow SIR,则为 Google SCC SIR

  2. 点击相应应用,然后点击获取

  3. 输入您的 ServiceNow ID 凭据,然后继续完成登录流程。

  4. 在 ServiceNow 控制台的全部标签页中,搜索系统应用,然后依次点击所有可用应用 > 全部

  5. 选择未安装。系统随即会显示应用列表。

  6. 选择 Google SCC ITSM 或 Google SCC SIR 应用,然后点击安装

为 ServiceNow 配置应用

在本部分中,您将创建所需的用户、配置连接,并设置 ServiceNow 以检索 Security Command Center 数据。

为应用创建用户

您必须为 Google SCC ITSM 或 Google SCC SIR 应用创建两位用户,并为他们分配适当的角色。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台中,搜索组织

  2. 依次点击组织 > 用户

  3. 点击 New(新建)。

  4. 输入 Google SCC ITSM 应用或 Google SCC SIR 应用的管理员账号信息。例如,在用户 ID 字段中,输入 google_scc_itsm_admin(针对 Google SCC ITSM)或 google_scc_sir_admin(针对 Google SCC SIR)。

  5. 点击提交

  6. 重复执行第 3 步到第 5 步,为 Google SCC ITSM 应用或 Google SCC SIR 应用创建用户账号。例如,在用户 ID 字段中,输入 google_scc_itsm_user(针对 Google SCC ITSM)或 google_scc_sir_user(针对 Google SCC SIR)。

  7. 用户列表中,点击您刚刚创建的某个账号的名称。

  8. 角色下,点击修改

  9. 添加适用于该账号的角色:

    用户名角色
    Google SCC ITSM 管理员 (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC ITSM 用户 (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • itil
    Google SCC SIR 管理员 (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR 用户 (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst
  10. 点击保存

  11. 重复第 7 步到第 10 步,为另一个账号分配角色。

  12. 退出您的账号并使用您刚刚创建的账号登录以验证密码。

使用 Security Command Center 配置身份验证

请完成以下步骤,以在 Security Command Center 和 ServiceNow 之间设置连接。要支持多个组织,请为每个组织完成本部分操作。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 使用包含服务账号密钥的 JSON 文件创建 Java 密钥库证书。如需了解相关说明,请参阅创建 Java 密钥库证书 (Xanadu)

  2. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击引导式设置

  3. 点击开始使用

  4. 身份验证配置中,点击开始

  5. 在任务页面的 Create X.509 Certificate(创建 X.509 证书)中,点击 Configure(配置)。

  6. 请输入以下信息:

    • 名称:此证书的唯一名称

    • 格式PEM

    • 类型Java 密钥库

  7. 点击 Manage Attachments(管理附件)图标,然后添加您在第 1 步中生成的 Java 密钥库证书(.jks 格式)。

  8. 点击关闭图标。

  9. 点击提交

  10. 在任务页面上的创建 X.509 证书中,点击标记为已完成

  11. 在任务页面的 Create JWT Key(创建 JWT 密钥)中,点击 Configure(配置)。

  12. 请输入以下信息:

    • 名称:此密钥的唯一名称

    • Signing Keystore(签名密钥库):您在第 7 步中指定的证书名称

    • 签名算法RSA 256

    • 签名密钥:您在第 1 步中创建的 .jks 文件的密码

  13. 点击提交

  14. 在任务页面上的创建 JWT 密钥中,点击标记为已完成

  15. 在任务页面上的创建 JWT 提供程序中,点击配置

  16. 请输入以下信息:

    • 名称:此提供方的唯一名称

    • 到期间隔(秒)60

    • 签名配置:您在第 13 步中指定的 JWT 密钥名称

  17. 点击提交

  18. 在任务页面的创建 JWT 提供程序中,点击标记为已完成

  19. 在任务页面的创建身份验证配置中,点击配置

  20. 请输入以下信息:

    • 名称:此配置的唯一名称

    • 组织 ID:您在 Google Cloud 中的组织 ID

    • 基准网址:Security Command Center API 的网址,通常为 https://securitycenter.googleapis.com

    • 客户端电子邮件地址:IAM 凭据的电子邮件地址

    • JWT 提供方:您在第 17 步中指定的 JWT 提供方名称

  21. 点击提交。系统会显示“身份验证成功”消息。

  22. 关闭 Create Authentication Configuration 窗口。

  23. 在任务页面的创建身份验证配置中,点击标记为已完成

为 Security Command Center 配置突发事件管理

若要启用从 Security Command Center 收集数据的功能,请完成以下步骤。要支持多个组织,请为每个组织完成本部分操作。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击引导式设置

  2. 点击开始使用

  3. 突发事件配置中,点击开始使用

  4. 如需确定您要添加到根据 Security Command Center 发现结果创建的事件中的现有配置项(例如资产),请使用配置项查询规则。请完成以下操作:

    1. 在任务页面的 CI 查找规则中,点击配置

    2. 点击 New(新建)。

    3. 请输入以下信息:

      • 名称:此查找规则的唯一名称

      • 查找方法字段匹配脚本

      • 顺序:相对于其他规则,此规则的评估顺序

      • 来源字段发现数据中用于此规则的输入字段

      • 在表中搜索:如果在一个字段上匹配,则为要查找该字段的表

      • 在字段中搜索:如果在一个字段上匹配,则为要与来源字段匹配的字段

      • 脚本:如果使用脚本,请输入脚本

      • 活跃:选择即可启用此查找规则

    4. 点击提交

    5. 根据需要对其他配置项重复此步骤。

    6. 在任务页面的 CI 锁定规则中,点击标记为已完成

  5. 在任务页面的注入配置中,点击配置

  6. 点击 New(新建)。

  7. 请输入以下信息:

    字段 说明
    名称 此记录的唯一名称
    Google SCC 配置 您在使用 Security Command Center 配置身份验证中创建的身份验证配置。您需要为配置的每个身份验证配置一项注入配置。
    周期性数据收集 选择允许从 Security Command Center 定期数据注入
    间隔(秒) Security Command Center 数据更新之间的时间间隔
    一次性数据收集 选择允许从 Security Command Center 数据注入。一次性数据收集不支持审核日志。
    收集开始时间 从 Security Command Center 开始注入数据的日期

    完成本部分的其余步骤之前,请勿选择活跃

  8. 如需添加发现结果,请完成以下步骤:

    1. 发现标签页中,选择已启用。启用发现功能后,您还会自动启用素材资源和来源。

    2. 请输入以下信息:

      字段 说明
      发现结果订阅 ID 对于周期性数据收集,发现结果的 Pub/Sub 订阅的名称
      Google SCC 发现结果名称 使用发现结果名称填充的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果状态 使用发现结果状态填充的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果指标 使用发现指示器填充的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果资源名称 使用发现结果的资源名称填充的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果外部 URI 突发事件字段的名称,用于填充 URI(如果有),该 URI 指向 Security Command Center 之外的网页,您可以在该网页上找到有关发现结果的更多信息。
      应用过滤条件 适用于一次性数据收集,可选择指定要包含哪些项目、状态、严重程度或类别
      项目名称 选择应用过滤条件后,您要从中检索发现结果的项目的名称
      状态 选择应用过滤条件后,发现结果的有效状态
      严重程度 选择应用过滤条件后,发现问题的严重程度
      类别 选择应用过滤条件后,您要从中检索发现结果的类别
  9. 如需添加资产,请完成以下步骤:

    1. 素材资源标签页中,选择已启用

    2. 资产订阅 ID 字段中,对于周期性数据收集,输入资产的 Pub/Sub 订阅名称。

  10. 如需添加安全来源,请在来源标签页中,选择已启用

  11. 如需添加审核日志,请完成以下步骤:

    1. 审核日志标签页中,选择已启用

    2. Audit Logs Subscription Id(审核日志订阅 ID)字段中,对于周期性数据收集,输入审核日志的 Pub/Sub 订阅名称。

  12. 点击提交

  13. 如果您收到配置处于非活动状态的消息,请点击确定。您将在此过程后面激活该配置。

  14. 在任务页面的注入配置中,点击标记为已完成

  15. 如果您希望系统根据发现创建突发事件,请完成以下步骤:

    1. 在任务页面上的突发事件创建条件(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)中,点击配置

    2. 点击您创建的突发事件配置的名称。

    3. 注入配置页面中,向下滚动,然后点击突发事件创建条件列表(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)标签页。

    4. 点击 New(新建)。

    5. 请输入以下信息:

      • 条件:根据字段创建突发事件的动态条件。例如,您可以为严重级别字段设置为的发现结果创建突发事件。

      • 顺序:此条件相对于其他条件的顺序。

    6. 点击提交

    7. 针对您希望系统根据哪些条件创建服务工单,重复步骤 d 到步骤 f。

    8. 关闭注入配置页面。

    9. 在任务页面上的突发事件创建条件(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)中,点击标记为完成

  16. 如果您想将突发事件分配给某个组,请完成以下步骤:

    1. 在任务页面的分配组条件中,点击配置

    2. 点击您创建的突发事件配置的名称。

    3. 注入配置页面中,向下滚动并点击分配组条件列表标签页。

    4. 点击 New(新建)。

    5. 请输入以下信息:

      • 分配群组:将分配支持请求的群组。

      • 条件:系统根据您指定的字段分配突发事件的动态条件。例如,您可以为发现结果类字段设置为错误配置的发现结果分配事故。

      • 顺序:此条件相对于其他条件的顺序。

    6. 点击提交

    7. 对您要将服务工单分配到的每个组重复第 d 步到第 f 步。

    8. 关闭注入配置页面。

    9. 在任务页面上的分配组条件中,点击标记为已完成

  17. 在任务页面上的激活注入配置中,点击配置

  18. 点击您创建的突发事件配置的名称。

  19. 选择活跃

  20. 如需开始收集数据,请点击收集数据

  21. 点击更新

  22. 在任务页面上的激活注入配置中,点击标记为已完成

验证您的配置

请完成以下步骤,验证 ServiceNow 是否正在从 Security Command Center 检索数据。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台中,点击全部标签页。

  2. 搜索 Google SCC ITSMGoogle SCC SIR,然后点击注入配置

  3. 检查状态以验证系统是否正在收集数据。

  4. 搜索 Google SCC ITSMGoogle SCC SIR,然后点击资产发现结果来源审核日志之一。您应该会看到系统正在向您启用的每个数据添加记录。如果您配置了自动创建问题,则在发现问题配置中,您应该会看到与符合您指定条件的每项发现问题相关的问题。

查看信息中心

借助 Google SCC ITSM 应用,您可以直观呈现来自 Security Command Center 的数据。它包含五个信息中心:概览来源发现结果资产审核日志

您可以在 ServiceNow 控制台的 All > Google SCC ITSM > Dashboards(全部 > Google SCC ITSM > 信息中心)或 All > Google SCC SIR > Dashboards(全部 > Google SCC SIR > 信息中心)页面访问这些信息中心。

概览信息中心

概览信息中心包含一系列图表,其中按严重级别、类别和状态显示组织中发现结果的总数。发现结果是根据 Security Command Center 的内置服务(例如 Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection)以及您启用的任何集成服务进行编译的。

如需过滤内容,您可以设置时间范围和组织 ID。

其他图表显示哪些类别、项目和资产生成最多的发现结果。

资产信息中心

资产信息中心会显示一个 Google Cloud 资产图表,其中按资产类型对资产进行了分类。

您可以按组织 ID 过滤资产数据。

审核日志信息中心

审核日志信息中心显示一系列图表和表格,其中显示审核日志信息。信息中心中包含的审核日志包括管理员活动、数据访问、系统事件和政策拒绝审核日志。表格包括时间、日志名称、严重程度、服务名称、资源名称和资源类型。

您可以按时间范围和组织 ID 过滤数据。

发现结果信息中心

发现结果信息中心显示一个表格,其中包含最近的 1000 个发现结果。表格列包括类别、资产名称、来源名称、安全标记、发现结果类和严重程度等。

您可以按时间范围、组织 ID、严重程度、状态或发现结果类来过滤数据。如果您设置了自动创建突发事件,信息中心会包含指向突发事件的链接。

来源信息中心

来源信息中心显示一个包含所有安全来源的表格。表列包括名称、显示名称和说明。

如需过滤内容,您可以设置组织 ID。

手动创建服务工单

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击发现结果

  3. 点击您要为其创建突发事件的发现。

  4. 在“发现结果”页面中,对于 Google SCC ITSM,点击创建突发事件;对于 Google SCC SIR,点击创建安全突发事件

更改发现结果的状态

您可以将发现结果的状态从“活跃”更改为“非活跃”,也可以将其从“非活跃”更改为“活跃”。

  1. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击发现结果

  2. 点击您要更改状态的发现。

  3. 在“发现结果”页面中,点击有效发现结果无效发现结果

  4. 点击 OK(确定)。

卸载应用

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台的全部标签页中,搜索系统应用,然后依次点击所有可用应用 > 全部

  2. 选择已安装

  3. 选择 Google SCC ITSMGoogle SCC SIR,然后点击卸载

限制

本部分介绍了与此集成相关的限制。

  • 每个 API 调用最多可以提取 1000 项资产、发现结果、来源或审核日志。

  • 如果 Findings API 调用响应为 429/5XX 之一,应用将在 60 秒后重试 3 次。如果仍失败,则该过程将失败。如需更改响应时间,请完成以下操作:

    1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

    2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击系统属性

    3. 来自 Google SCC 的无效响应的最大重试次数(数字)设置为大于 3 的数字。

    4. 点击保存

查看应用日志

如需查看应用的日志,请完成以下操作:

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后依次点击管理 > 应用日志

问题排查

无法从 ServiceNow 商店安装应用

  1. 确认您已以 ServiceNow 系统管理员身份登录。

  2. 全部标签页中,搜索系统应用,然后依次点击所有可用应用 > 全部

  3. 检查该应用是否显示在已安装标签页中。

无法创建新用户

如果您使用的是罗马发布版本,请查看创建用户以了解相关说明。

无法提取数据

提取发现结果、资产、来源或审核日志时可能会出现此问题,并且系统会显示“开始为性能分析注入数据:PROFILE_NAME”消息。

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后依次点击管理 > 系统属性

  3. 验证以下字段是否不为空:

    • 来自 Google SCC 的无效响应的最大重试次数(数字)

    • 达到请求限制后发出另一个请求之前等待的时长(以毫秒为单位)

  4. 如果这些字段为空,请按如下方式设置值:

    • 来自 Google SCC 的无效响应的最大重试次数(数字)设置为 3

    • 达到请求限制后发出另一个请求之前等待的时长(以毫秒为单位)设置为 60000

  5. 点击保存

无法向单个服务工单添加超过 250 条工作备注或活动

  1. 以系统管理员身份登录 ServiceNow 控制台。

  2. 在导航栏中,搜索 sys_properties.list

  3. 系统属性窗口中,创建过滤条件(名称为 glide.history.max_entries)。

  4. 点击运行

  5. 在属性窗口中,将设置为大于 250 的数字。

  6. 点击更新

不支持附件

  1. 以系统管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索系统应用,然后点击安全

  3. 安全系统属性页面,验证以下字段中的扩展程序列表:可以通过附件对话框附加到文档的文件扩展名列表(以英文逗号分隔)。扩展程序不应包含句点 (.),例如 xls,xlsx,doc,docx。留空则允许所有扩展程序。

超出最长执行时间

您在尝试访问信息中心时收到此消息。

如需了解解决方法,请参阅首页上显示“Widget cancelled - Maximum execution time exceeded”(“微件已取消 - 超出最大执行时间”)消息

后续步骤