将 Security Command Center 数据发送到 ServiceNow

本页面介绍如何自动将 Security Command Center 发现结果、资产、审核日志和安全来源发送到 ServiceNow。还介绍了如何管理导出的数据。

ServiceNow 提供技术管理支持,包括帮助台功能。其管理系统可通过数字化工作流程和员工服务门户,帮助自动执行密集型 IT 流程和活动。

支持的版本

您可以将 Security Command Center 信息发送给 ServiceNow IT Server Management (ITSM) 或 ServiceNow Security Incident Response (SIR)。

Security Command Center 支持与以下 ServiceNow 集成 versions:

  • 温哥华
  • 犹他

如果您使用的是旧版(如罗马、圣地亚哥或 东京,我们建议您迁移到受支持的最新版本。

如需开始使用 ServiceNow,请参阅使用入门

准备工作

您必须是 ServiceNow 系统管理员才能完成本指南中的一些任务。其余任务要求您按为应用创建用户中所述,创建其他用户。

在连接到 ServiceNow 之前,您需要创建一个 Identity and Access Management (IAM) 服务账号,并向该账号授予 Google SCC SIR 应用或 Google SCC ITSM 应用所需的组织级层和项目级层 IAM 角色。

创建服务账号并授予 IAM 角色

以下步骤使用 Google Cloud 控制台。对于其他方法,请参阅本部分末尾的链接。

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 在创建 Pub/Sub 主题的同一项目中,使用 Google Cloud 控制台的服务账号页面创建一个服务账号。如需查看相关说明,请参阅创建和管理服务账号

  2. 授予该服务账号以下角色:

    • Pub/Sub Editor (roles/pubsub.editor)

  3. 复制您刚创建的服务账号的名称。

  4. 使用 Google Cloud 控制台中的项目选择器切换到组织级层。

  5. 打开组织的 IAM 页面:

    转到 IAM

  6. 在 IAM 页面上,点击授予访问权限。此时将打开授予访问权限面板。

  7. 授予访问权限面板中,完成以下步骤:

    1. 新的主账号字段的添加主账号部分,粘贴服务账号的名称。

    2. 分配角色部分中,使用角色字段向服务账号授予以下 IAM 角色:

      • Security Center Admin Editor (roles/securitycenter.adminEditor)
      • Security Center Notification Configurations Editor (roles/securitycenter.notificationConfigEditor)
      • Organization Viewer (roles/resourcemanager.organizationViewer)
      • Cloud Asset Viewer (roles/cloudasset.viewer)

    3. 点击保存。安全账号会显示在 IAM 页面的权限标签页上的按主账号查看下方。

      通过继承,该服务账号也会成为组织的所有子项目中的主账号,并且适用于项目级层的角色被列为继承的角色。

如需详细了解如何创建服务账号并授予角色,请参阅以下主题:

向 ServiceNow 提供凭据

如需向 ServiceNow 提供 IAM 凭据,请创建服务账号密钥。您将 需要使用 JSON 格式的服务账号密钥才能完成本指南。如果您使用多个 Google Cloud 组织,请将此服务账号添加到其他组织,并为其授予 IAM 角色(请参阅创建服务账号并授予 IAM 角色中的第 5 步到第 7 步)。

配置通知

对您要从中导入 Security Command Center 数据的每个 Google Cloud 组织完成以下步骤。

  1. 设置发现结果通知,如下所示:

    1. 启用 Security Command Center API。
    2. 创建过滤条件以导出所需的发现结果和资产。

  2. 为您的项目启用 Cloud Asset API

  3. 为您的资产创建 Feed。您必须在同一 Pub/Sub 主题中创建两个 Feed,一个用于资源,另一个用于 Identity and Access Management (IAM) 政策。

    • 资产的 Pub/Sub 主题必须与用于发现结果的主题不同。

    • 对于资源的 Feed,请使用以下过滤条件:

      content-type=resource

    • 对于 IAM 政策 Feed,请使用以下过滤条件:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. 为审核日志创建目标接收器。此集成使用 Pub/Sub 主题作为目标位置。

您需要自己的组织 ID 和 Pub/Sub 订阅名称来配置 ServiceNow。

安装 ServiceNow 应用

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 转到 ServiceNow 商店,然后搜索以下应用之一:

    • 如果您运行 ServiceNow ITSM,则为 Google SCC ITSM

    • 如果您运行 ServiceNow SIR,则为 Google SCC SIR

  2. 点击相应应用,然后点击获取

  3. 输入您的 ServiceNow ID 凭据并继续完成登录过程。

  4. 在 ServiceNow 控制台的全部标签页中,搜索系统应用,然后点击所有可用应用 >全部

  5. 选择未安装。系统会显示应用列表。

  6. 选择 Google SCC ITSM 或 Google SCC SIR 应用,然后点击安装

针对 ServiceNow 配置应用

在本部分中,您将创建所需用户、配置连接并设置 ServiceNow 以检索 Security Command Center 数据。

为应用创建用户

您必须为 Google SCC ITSM 或 Google SCC SIR 应用创建两个用户,并向他们分配适当的角色。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台中,搜索组织

  2. 点击组织 >用户

  3. 点击 New(新建)。

  4. 输入 Google SCC ITSM 应用或 Google SCC SIR 应用的管理员账号信息。例如,在用户 ID 字段中,输入 google_scc_itsm_admin(针对 Google SCC ITSM)或 google_scc_sir_admin(针对 Google SCC SIR)。

  5. 点击提交

  6. 重复执行第 3 步到第 5 步,为 Google SCC ITSM 应用或 Google SCC SIR 应用创建用户账号。例如,在用户 ID 字段中,输入 google_scc_itsm_user(针对 Google SCC ITSM)或 google_scc_sir_user(针对 Google SCC SIR)。

  7. 用户列表中,点击您刚刚创建的其中一个账号的名称。

  8. 角色下,点击修改

  9. 添加适用于该账号的角色:

    用户名角色
    Google SCC ITSM 管理员 (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    Google SCC ITSM 用户 (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • itil
    Google SCC SIR 管理员 (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    Google SCC SIR 用户 (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. 点击保存

  11. 重复第 7 步到第 10 步,为其他账号分配角色。

  12. 退出您的账号并使用您刚刚创建的账号登录以验证密码。

使用 Security Command Center 配置身份验证

完成以下步骤,在 Security Command Center 与 ServiceNow 之间设置连接。要支持多个组织,请为每个组织完成本部分操作。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 从包含服务账号密钥的 JSON 文件创建 Java 密钥库证书。有关说明,请参阅创建 Java 密钥库证书(罗马)创建 Java 密钥库证书(东京)

  2. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击引导式设置

  3. 点击开始使用

  4. Authentication Configuration(身份验证配置)中,点击 Get Started(开始使用)。

  5. 在任务页面的 Create X.509 Certificate(创建 X.509 证书)中,点击 Configure(配置)。

  6. 请输入以下信息:

    • 名称:此证书的唯一名称

    • 格式PEM

    • 类型Java 密钥库

  7. 点击 Manage Attachments(管理附件)���标,然后添加您在第 1 步中生成的 Java 密钥库证书(.jks 格式)。

  8. 点击关闭图标。

  9. 点击提交

  10. 在任务页面上的创建 X.509 证书中,点击标记为已完成

  11. 在任务页面的创建 JWT 密钥中,点击配置

  12. 请输入以下信息:

    • 名称:此密钥的唯一名称

    • Signing Keystore:您在第 7 步中指定的证书名称

    • 签名算法RSA 256

    • Signing Key:您在第 1 步中创建的 .jks 文件的密码

  13. 点击提交

  14. 在任务页面的创建 JWT 密钥中,点击标记为已完成

  15. 在任务页面的创建 JWT 提供商中,点击配置

  16. 请输入以下信息:

    • 名称:此提供方的唯一名称

    • 过期间隔时间(秒)60

    • Signing Configuration:您在步骤 13 中指定的 JWT 密钥名称

  17. 点击提交

  18. 在任务页面的创建 JWT 提供商中,点击标记为已完成

  19. 在任务页面的 Create Authentication Configuration(创建身份验证配置)中,点击 Configure(配置)。

  20. 请输入以下信息:

    • 名称:此配置的唯一名称

    • Organization ID:您的组织在 Google Cloud 中的 ID

    • 基准网址:Security Command Center API 的网址,通常为 https://securitycenter.googleapis.com

    • 客户端电子邮件地址:IAM 凭据的电子邮件地址

    • JWT 提供商:您在第 17 步中指定的 JWT 提供商名称

  21. 点击提交。系统会显示“身份验证成功”消息。

  22. 关闭 Create Authentication Configuration 窗口。

  23. 在任务页面上的创建身份验证配置中,点击标记为已完成

为 Security Command Center 配置突发事件管理

完成以下步骤即可从 Security Command Center 启用数据收集。要支持多个组织,请为每个组织完成本部分操作。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击引导式设置

  2. 点击开始使用

  3. 突发事件配置中,点击开始

  4. 如需识别要添加到根据 Security Command Center 发现结果创建的突发事件中的现有配置项(例如资产),请使用 CI 查询规则。请完成以下操作:

    1. 在任务页面的 CI 查找规则中,点击配置

    2. 点击 New(新建)。

    3. 请输入以下信息:

      • 名称:此查找规则的唯一名称

      • 查找方法字段匹配脚本

      • 顺序:评估此规则相对于其他规则的顺序

      • 来源字段发现结果数据中作为此规则输入字段的字段

      • 在表中搜索:如果在一个字段上匹配,则为要查找该字段的表

      • 在字段中搜索:如果在一个字段上匹配,则为要与来源字段匹配的字段

      • 脚本:如果使用的是脚本,请输入相应脚本

      • 活跃:选择即可启用此查找规则

    4. 点击提交

    5. 根据需要,对其他配置项重复此步骤。

    6. 在任务页面的 CI 锁定规则中,点击标记为已完成

  5. 在任务页面的注入配置中,点击配置

  6. 点击 New(新建)。

  7. 请输入以下信息:

    字段 说明
    名称 此记录的唯一名称
    Google SCC 配置 您在使用 Security Command Center 配置身份验证中创建的身份验证配置。您需要为配置的每个身份验证配置一项注入配置。
    周期性数据收集 选择此选项可允许从 Security Command Center 定期数据注入
    间隔时间(秒) Security Command Center 数据更新之间的时间间隔
    一次性数据收集 选择允许从 Security Command Center 数据注入。一次性数据收集不支持审核日志。
    收集开始时间 从 Security Command Center 开始注入数据的日期

    完成本部分的其余步骤之前,请勿选择活跃

  8. 如需添加发现结果,请完成以下步骤:

    1. 发现结果标签页中,选择已启用。启用发现结果后,您也会自动启用相关资源和来源。

    2. 请输入以下信息:

      字段 说明
      发现结果订阅 ID 对于周期性数据收集,发现结果的 Pub/Sub 订阅名称
      Google SCC 发现结果名称 要填充发现结果名称的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果状态 要填充发现结果状态的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果指标 要填充发现结果指示器的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果资源名称 使用发现结果的资源名称填充的突发事件字段的名称(例如“说明”)
      Google SCC 发现结果外部 URI 事件字段的名称,将填充此 URI(如果有),该 URI 指向 Security Command Center 之外的某个网页,可在其中找到有关发现结果的其他信息。
      应用过滤条件 可用于一次性数据收集,选择可指定要涵盖的项目、状态、严重级别或类别
      项目名称 从中检索发现结果的项目的名称(选中应用过滤条件后)
      状态 选择应用过滤条件后,发现结果是有效还是无效
      严重程度 选择应用过滤条件后,发现结果的严重程度
      类别 选择应用过滤条件后,要从中检索发现结果的类别

  9. 如需添加资产,请完成以下步骤:

    1. 资产标签页中,选择已启用

    2. 资产订阅 ID 字段中,对于周期性数据收集,请输入资产的 Pub/Sub 订阅的名称。

  10. 如需添加安全来源,请在来源标签页中选择已启用

  11. 如需添加审核日志,请完成以下步骤:

    1. 审核日志标签页中,选择已启用

    2. 审核日志订阅 ID 字段中,对于周期性数据收集,请输入用于审核日志的 Pub/Sub 订阅的名称。

  12. 点击提交

  13. 如果您收到配置无效的消息,请点击确定。您稍后将在此过程中激活该配置。

  14. 在任务页面的注入配置中,点击标记为已完成

  15. 如果您希望根据发现结果创建突发事件,请完成以下步骤:

    1. 在任务页面上的突发事件创建条件(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)中,点击配置

    2. 点击您创建的突发事件配置的名称。

    3. 注入配置页面中,向下滚动,然后点击突发事件创建条件列表(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)标签页。

    4. 点击 New(新建)。

    5. 请输入以下信息:

      • 条件:创建突发事件的动态条件,基于字段。例如,您可以为严重性字段设置为的发现结果创建突发事件。

      • 顺序:此条件相对于其他条件的顺序。

    6. 点击提交

    7. 针对要为其创建突发事件的每个条件重复第 d 步到第 f 步。

    8. 关闭注入配置页面。

    9. 在任务页面上的突发事件创建条件(针对 Google SCC for ITSM)或安全突发事件创建条件(针对 Google SCC for SIR)中,点击标记为完成

  16. 如果要向群组分配突发事件,请完成以下步骤:

    1. 在任务页面的分配组条件中,点击配置

    2. 点击您创建的突发事件配置的名称。

    3. 注入配置页面中,向下滚动并点击分配组条件列表标签页。

    4. 点击 New(新建)。

    5. 请输入以下信息:

      • Assignment Group(分配组):突发事件将分配到的组。

      • 条件:分配突发事件的动态条件,取决于您指定的字段。例如,您可以为发现结果类字段设置为错误配置的发现结果分配突发事件。

      • 顺序:此条件相对于其他条件的顺序。

    6. 点击提交

    7. 针对您要向其分配突发事件的每个群组重复���行步骤 d 到步骤 f。

    8. 关闭注入配置页面。

    9. 在任务页面上的分配组条件中,点击标记为已完成

  17. 在任务页面上的激活注入配置中,点击配置

  18. 点击您创建的突发事件配置的名称。

  19. 选择活跃

  20. 若要开始收集数据,请点击收集数据

  21. 点击���新

  22. 在任务页面上的激活注入配置中,点击标记为已完成

验证您的配置

请完成以下步骤,验证 ServiceNow 是否正在从 Security Command Center 检索数据。

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台中,点击全部标签页。

  2. 搜索 Google SCC ITSMGoogle SCC SIR,然后点击注入配置

  3. 检查状态以验证系统是否正在收集数据。

  4. 搜索 Google SCC ITSMGoogle SCC SIR,然后点击资产发现结果来源审核日志之一。您应该会看到系统正在向您启用的每个数据添加记录。如果您配置了自动创建突发事件,则在发现结果配置中,您应该会看到与符合您指定的条件的每个发现结果相关的突发事件。

查看信息中心

Google SCC ITSM 应用可让您 Security Command Center。它包含五个信息中心:概览来源发现结果资产审核日志

您可以在 ServiceNow 控制台的全部 >Google SCC ITSM >信息中心全部 >Google SCC SIR >信息中心页面。

概览信息中心

概览信息中心包含一系列图表,其中按严重级别、类别和状态显示组织中发现结果的总数。发现结果是根据 Security Command Center 的内置服务(例如 Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection)以及您启用的任何集成服务进行编译的。

如需过滤内容,您可以设置时间范围和组织 ID。

其他图表显示哪些类别、项目和资产生成最多的发现结果。

资产信息中心

资产信息中心会显示 Google Cloud 的图表 素材资源,按素材资源类型分类。

您可以按组织 ID 过滤资产数据。

审核日志信息中心

审核日志信息中心显示一系列图表和表格,其中显示审核日志信息。信息中心中包含的审核日志包括管理员活动、数据访问、系统事件和政策拒绝审核日志。表格包括时间、日志名称、严重程度、服务名称、资源名称和资源类型。

您可以按时间范围和组织 ID 过滤数据。

发现结果信息中心

发现结果信息中心显示一个表格,其中包含最近的 1000 个发现结果。表格列包括类别、资产名称、来源名称、安全标记、发现结果类��严重程度等。

您可以按时间范围、组织 ID、严重程度、状态或发现结果类过滤数据。如果您设置了自动创建突发事件,则信息中心会包含指向相应突发事件的链接。

来源信息中心

来源信息中心显示一个包含所有安全来源的表格。表列包括名称、显示名称和说明。

如需过滤内容,您可以设置组织 ID。

手动创建突发事件

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击发现结果

  3. 点击您要创建突发事件的发现结果。

  4. 在发现结果页面中,针对 Google SCC ITSM,点击 Create Incident(创建突发事件),针对 Google SCC SIR(创建安全突发事件)点击 Create Security Incident(创建安全突发事件)。

更改发现结果状态

您可以将发现结果状态从有效更改为无效,或从无效更改为有效。

  1. 在 ServiceNow 控制台的全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击发现结果

  2. 点击要更改状态的发现结果。

  3. 在发现结果页面中,点击有效发现结果无效发现结果

  4. 点击 OK(确定)。

卸载应用

您必须是 ServiceNow 系统管理员才能完成此任务。

  1. 在 ServiceNow 控制台的全部标签页中,搜索系统应用,然后点击所有可用应用 >全部

  2. 选择已安装

  3. 选择 Google SCC ITSMGoogle SCC SIR,然后点击卸载

限制

本部分介绍了与此集成相关的限制。

  • 每个 API 调用最多可以提取 1000 项资产、发现结果、来源或审核日志。

  • 如果 Findings API 调用响应为 429/5XX 之一,应用将在 60 秒后重试 3 次。如果仍然失败,则进程失败。如需更改响应时间,请完成以下操作:

    1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

    2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击系统属性

    3. 来自 Google SCC 的无效响应的最大重试次数(数字)设置为大于 3 的数字。

    4. 点击保存

查看应用日志

如需查看应用的日志,请完成以下操作:

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击管理 >应用日志

问题排查

无法从 ServiceNow 商店安装应用

  1. 请确认您以 ServiceNow 系统管理员的身份登录。

  2. 全部标签页中,搜索系统应用,然后点击所有可用的应用 >全部

  3. 检查该应用是否显示在已安装标签页中。

无法创建新用户

如果您使用的是罗马发布版本,请查看创建用户以了解相关说明。

无法提取数据

提取发现结果、资产、来源或审核日志时可能会出现此问题,并且系统会显示“开始为性能分析注入数据:PROFILE_NAME”消息。

  1. 以 Google SCC ITSM 或 Google SCC SIR 管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索 Google SCC ITSMGoogle SCC SIR,然后点击管理 >系统属性

  3. 确认以下字段不为空:

    • 来自 Google SCC 的无效响应的最大重试次数(数字)

    • 达到请求限制后发出另一个请求需等待的时间(以毫秒为单位)

  4. 如果这些字段为空,请按如下所示设置值:

    • 来自 Google SCC 的无效响应的最大重试次数(数字)设置为 3

    • 达到请求限制后发出另一个请求之前等待的时长(以毫秒为单位)设置为 60000

  5. 点击保存

向突发事件添加的工作备注或活动不能超过 250 个

  1. 以系统管理员身份登录 ServiceNow 控制台。

  2. 在导航栏中,搜索 sys_properties.list

  3. 系统属性窗口中,创建过滤条件(名称为 glide.history.max_entries)。

  4. 点击运行

  5. 在属性窗口中,将设置为大于 250 的数字。

  6. 点击更新

附件不受支持

  1. 以系统管理员身份登录 ServiceNow 控制台。

  2. 全部标签页中,搜索系统应用,然后点击安全

  3. 安全系统属性页面,验证以下字段中的扩展程序列表:可以通过附件对话框附加到文档的文件扩展名列表(以英文逗号分隔)。扩展程序不应包含句点 (.),例如 xls,xlsx,doc,docx。留空则允许所有扩展程序。

超出执行时间上限

您在尝试访问信息中心时会收到此消息。

如需了解解决方法,请参阅“微件已取消 - 已超出执行时间上限”消息

后续步骤