שליחת נתונים מ-Security Command Center אל ServiceNow

בדף הזה מוסבר איך לשלוח באופן אוטומטי ממצאים, נכסים, יומני ביקורת ומקורות אבטחה מ-Security Command Center אל ServiceNow. בנוסף, מוסבר איך לנהל את הנתונים המיוצאים.

‫ServiceNow מספקת תמיכה בניהול טכני, כולל פונקציונליות של מוקד תמיכה. מערכת הניהול שלה עוזרת לבצע אוטומציה של תהליכים ואירועים אינטנסיביים בתחום ה-IT באמצעות תהליכי עבודה דיגיטליים ופורטלים לשירות עובדים.

גרסאות נתמכות

אתם יכולים לשלוח מידע מ-Security Command Center אל ServiceNow IT Server Management (ITSM) או אל ServiceNow Security Incident Response (SIR).

‫Security Command Center תומך בשילוב עם הגרסאות הבאות של ServiceNow:

  • אמריקה/ונקובר
  • יוטה

אם אתם משתמשים בגרסה קודמת, כמו Rome,‏ San Diego או Tokyo, מומלץ לעבור לגרסה העדכנית הנתמכת.

במאמר תחילת העבודה עם ServiceNow מוסבר איך מתחילים להשתמש ב-ServiceNow.

לפני שמתחילים

כדי להשלים חלק מהמשימות במדריך הזה, אתם צריכים להיות אדמינים של מערכת ServiceNow. כדי לבצע את המשימות שנותרו, צריך ליצור משתמשים נוספים, כפי שמתואר במאמר יצירת משתמשים לאפליקציה.

לפני שמתחברים ל-ServiceNow, צריך ליצור חשבון שירות של ניהול זהויות והרשאות גישה (IAM) ולהעניק לחשבון את תפקידי ה-IAM ברמת הארגון וברמת הפרויקט שנדרשים לאפליקציית Google SCC SIR או לאפליקציית Google SCC ITSM.

יצירה של חשבון שירות והקצאת תפקידי IAM

השלבים הבאים מתייחסים לשימוש במסוף Google Cloud . שיטות אחרות מפורטות בקישורים בסוף הקטע הזה.

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. באותו פרויקט שבו יוצרים את נושאי Pub/Sub, משתמשים בדף Service Accounts במסוף Google Cloud כדי ליצור חשבון שירות. הוראות מפורטות זמינות במאמר יצירה וניהול של חשבונות שירות.

  2. מקצים לחשבון השירות את התפקיד הבא:

    • Pub/Sub Editor (roles/pubsub.editor)

  3. מעתיקים את השם של חשבון השירות שיצרתם.

  4. משתמשים בכלי לבחירת פרויקטים במסוף Google Cloud כדי לעבור לרמת הארגון.

  5. פותחים את הדף IAM של הארגון:

    כניסה לדף IAM

  6. בדף IAM, לוחצים על Grant access (מתן גישה). תיפתח החלונית למתן גישה.

  7. בחלונית Grant access (הענקת גישה), מבצעים את הפעולות הבאות:

    1. בקטע Add principals, בשדה New principals, מדביקים את השם של חשבון השירות.

    2. בקטע Assign roles, משתמשים בשדה Role כדי להעניק לחשבון השירות את התפקידים הבאים ב-IAM:

    3. עריכה של אדמין ב-Security Center (roles/securitycenter.adminEditor)
    4. הכלי לעריכת הגדרות ההתראות במרכז האבטחה (roles/securitycenter.notificationConfigEditor)
    5. צפייה בארגון (roles/resourcemanager.organizationViewer)
    6. Cloud Asset Viewer (roles/cloudasset.viewer)

    7. לוחצים על Save. חשבון השירות מופיע בכרטיסייה הרשאות בדף IAM בקטע תצוגה לפי חשבונות משתמשים.

      באמצעות ירושה, חשבון השירות הופך גם לחשבון משתמש בכל פרויקטי הצאצא של הארגון. התפקידים שרלוונטיים ברמת הפרויקט מופיעים כ'תפקידים שעברו בירושה'.

מידע נוסף על יצירת חשבונות שירות והענקת תפקידים זמין במאמרים הבאים:

מספקים את פרטי הכניסה ל-ServiceNow

כדי לספק ל-ServiceNow אישורי IAM, יוצרים מפתח לחשבון שירות. כדי להשלים את המדריך הזה, תצטרכו את המפתח של חשבון השירות בפורמט JSON. אם אתם משתמשים בכמה Google Cloud ארגונים, הוסיפו את חשבון השירות הזה לארגונים האחרים והקצו לו את תפקידי ה-IAM שמתוארים בשלבים 5 עד 7 במאמר יצירת חשבון שירות והקצאת תפקידי IAM.

הגדרת התראות

צריך לבצע את השלבים האלה לכל Google Cloud ארגון שרוצים לייבא ממנו נתונים של Security Command Center.

  1. כדי להגדיר התראות על מציאת מכשיר:

    1. מפעילים את Security Command Center API.
    2. יוצרים מסנן כדי לייצא את הממצאים והנכסים הרצויים.

  2. מפעילים את Cloud Asset API בפרויקט.

  3. יצירת פידים של נכסים צריך ליצור שני פידים באותו נושא Pub/Sub – אחד למשאבים ואחד למדיניות ניהול הזהויות והרשאות הגישה (IAM).

    • נושא ה-Pub/Sub של הנכסים צריך להיות שונה מזה שמשמש לממצאים.

    • כדי לסנן את הפיד של המשאבים, משתמשים במסנן הבא:

      content-type=resource

    • כדי להציג את הפיד של מדיניות IAM, משתמשים בפילטר הבא:

      content-type=iam-policy --asset-types="cloudresourcemanager.googleapis.com/Project"

  4. יצירת יעד ליומני הביקורת. השילוב הזה משתמש בנושא Pub/Sub כיעד.

כדי להגדיר את ServiceNow, תצטרכו את מזהי הארגון ואת שמות המינויים ב-Pub/Sub.

התקנת האפליקציה ל-ServiceNow

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. עוברים אל חנות ServiceNow ומחפשים אחת מהאפליקציות הבאות:

    • אם אתם מפעילים את ServiceNow ITSM, ‏ Google SCC ITSM

    • אם אתם מפעילים את ServiceNow SIR, ‏ Google SCC SIR

  2. לוחצים על האפליקציה ואז על הורדה.

  3. מזינים את פרטי הכניסה לחשבון ServiceNow וממשיכים בתהליך הכניסה.

  4. במסוף ServiceNow, בכרטיסייה All, מחפשים את System Applications ולוחצים על All Available Applications > All.

  5. בוחרים באפשרות לא הותקנה. מופיעה רשימה של אפליקציות.

  6. בוחרים באפליקציה Google SCC ITSM או Google SCC SIR ולוחצים על Install (התקנה).

הגדרת האפליקציה ל-ServiceNow

בקטע הזה יוצרים את המשתמשים הנדרשים, מגדירים את הקישוריות ומגדירים את ServiceNow לאחזור נתונים מ-Security Command Center.

יצירת משתמשים לאפליקציה

צריך ליצור שני משתמשים באפליקציית Google SCC ITSM או Google SCC SIR ולהקצות להם את התפקידים המתאימים.

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. במסוף ServiceNow, מחפשים את Organization.

  2. לוחצים על ארגון > משתמשים.

  3. לוחצים על New.

  4. מזינים את פרטי חשבון האדמין של אפליקציית Google SCC ITSM או Google SCC SIR. לדוגמה, בשדה User ID (מזהה משתמש), מזינים google_scc_itsm_admin עבור Google SCC ITSM או google_scc_sir_admin עבור Google SCC SIR.

  5. לוחצים על שליחה.

  6. חוזרים על שלבים 3 עד 5 כדי ליצור חשבון משתמש לאפליקציית Google SCC ITSM או לאפליקציית Google SCC SIR. לדוגמה, בשדה User ID (מזהה משתמש), מזינים google_scc_itsm_user עבור Google SCC ITSM או google_scc_sir_user עבור Google SCC SIR.

  7. ברשימת המשתמשים, לוחצים על השם של אחד מהחשבונות שיצרתם.

  8. בקטע תפקידים, לוחצים על עריכה.

  9. מוסיפים את התפקידים שרלוונטיים לחשבון:

    שם משתמשתפקידים
    אדמין ב-Google SCC ITSM‏ (google_scc_itsm_admin)
    • x_goog_scc_itsm.Google_SCC_ITSM_Admin
    • itil
    • itil_admin
    • personalize_dictionary
    • oauth_admin
    משתמש ITSM של Google SCC‏ (google_scc_itsm_user)
    • x_goog_scc_itsm.Google_SCC_ITSM_User
    • itil
    אדמין ב-Google SCC SIR‏ (google_scc_sir_admin)
    • x_goog_scc_sir.Google_SCC_SIR_Admin
    • sn_si.admin
    • oauth_admin
    משתמש Google SCC SIR‏ (google_scc_sir_user)
    • x_goog_scc_sir.Google_SCC_SIR_User
    • sn_si.analyst

  10. לוחצים על Save.

  11. חוזרים על שלבים 7 עד 10 כדי להקצות תפקידים לחשבון השני.

  12. כדי לאמת את הסיסמאות, צריך להתנתק מהחשבון ולהתחבר באמצעות החשבונות שיצרתם.

הגדרת אימות באמצעות Security Command Center

כדי להגדיר קישוריות בין Security Command Center לבין ServiceNow, צריך לפעול לפי השלבים הבאים. כדי לתמוך בכמה ארגונים, צריך למלא את הקטע הזה לכל ארגון.

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. יוצרים אישור Java Keystore מקובץ ה-JSON שמכיל את המפתח של חשבון השירות. הוראות מפורטות זמינות במאמר יצירת אישור Java KeyStore‏ (Xanadu).

  2. במסוף ServiceNow, בכרטיסייה All (הכול), מחפשים את Google SCC ITSM או את Google SCC SIR ולוחצים על Guided Setup (הגדרה מודרכת).

  3. לוחצים על Get Started.

  4. בקטע הגדרת אימות, לוחצים על מתחילים.

  5. בדף המשימות, בקטע Create X.509 Certificate, לוחצים על Configure.

  6. הזן את פריטי המידע הבאים:

    • שם: שם ייחודי לאישור הזה

    • פורמט: PEM

    • סוג: Java Key Store

  7. לוחצים על הסמל ניהול קבצים מצורפים ומוסיפים את אישור Java Keystore (בפורמט ‎.jks) שיצרתם בשלב 1.

  8. לוחצים על סמל הסגירה.

  9. לוחצים על שליחה.

  10. בדף המשימות, בקטע Create X.509 Certificate, לוחצים על Mark as Complete (סימון כהשלמה).

  11. בדף המשימות, בקטע Create JWT Key (יצירת מפתח JWT), לוחצים על Configure (הגדרה).

  12. הזן את פריטי המידע הבאים:

    • שם: שם ייחודי למפתח

    • Signing Keystore: שם האישור שציינתם בשלב 7

    • אלגוריתם החתימה: RSA 256

    • מפתח חתימה: הסיסמה לקובץ ‎ .jks שיצרתם בשלב 1

  13. לוחצים על שליחה.

  14. בדף המשימות, בקטע Create JWT Key (יצירת מפתח JWT), לוחצים על Mark as Complete (סימון שהמשימה בוצעה).

  15. בדף המשימות, בקטע Create JWT Provider (יצירת ספק JWT), לוחצים על Configure (הגדרה).

  16. הזן את פריטי המידע הבאים:

    • Name: שם ייחודי של הספק

    • Expiry Interval (sec): 60

    • הגדרת חתימה: שם מפתח ה-JWT שציינתם בשלב 13

  17. לוחצים על שליחה.

  18. בדף המשימות, בקטע Create JWT Provider, לוחצים על Mark as Complete.

  19. בדף המשימות, בקטע Create Authentication Configuration, לוחצים על Configure.

  20. הזן את פריטי המידע הבאים:

    • Name: שם ייחודי להגדרה הזו

    • מזהה הארגון: המזהה של הארגון שלכם ב- Google Cloud

    • כתובת URL בסיסית: כתובת ה-URL של Security Command Center API, בדרך כלל https://securitycenter.googleapis.com

    • כתובת האימייל של הלקוח: כתובת האימייל של פרטי הכניסה ל-IAM

    • ספק JWT: השם של ספק ה-JWT שציינתם בשלב 17

  21. לוחצים על שליחה. מופיעה ההודעה Authentication Successful (האימות הצליח).

  22. סוגרים את החלון יצירת הגדרות אימות.

  23. בדף המשימות, בקטע Create Authentication Configuration, לוחצים על Mark as Complete.

הגדרת ניהול אירועים ב-Security Command Center

כדי להפעיל את איסוף הנתונים מ-Security Command Center, צריך לבצע את השלבים הבאים. כדי לתמוך בכמה ארגונים, צריך למלא את הקטע הזה לכל ארגון.

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. במסוף ServiceNow, בכרטיסייה All (הכול), מחפשים את Google SCC ITSM או את Google SCC SIR ולוחצים על Guided Setup (הגדרה מודרכת).

  2. לוחצים על Get Started.

  3. בקטע Incident Configuration (הגדרת אירועים), לוחצים על Get Started (תחילת העבודה).

  4. כדי לזהות פריטי הגדרה קיימים (כמו נכסים) שרוצים להוסיף לאירועים שיוצרים מהממצאים של Security Command Center, משתמשים בכללי חיפוש של פריטי הגדרה. צריך לבצע את השלבים הבאים:

    1. בדף המשימות, בקטע CI Lookup Rule (כלל חיפוש של פריט תצורה), לוחצים על Configure (הגדרה).

    2. לוחצים על New.

    3. הזן את פריטי המידע הבאים:

      • שם: שם ייחודי לכלל החיפוש הזה

      • שיטת החיפוש: התאמת שדות או סקריפט

      • סדר: הסדר שבו הכלל הזה מוערך ביחס לכללים אחרים

      • שדה המקור: השדה בנתוני הממצאים שמשמש כקלט לכלל הזה

      • חיפוש בטבלה: אם מתבצעת התאמה בשדה, הטבלה שבה השדה נמצא

      • שדה לחיפוש: אם מתבצעת התאמה בשדה, השדה שצריך להתאים לשדה המקור

      • סקריפט: אם משתמשים בסקריפט, מזינים את הסקריפט

      • פעיל: בוחרים באפשרות הזו כדי להפעיל את כלל החיפוש הזה

    4. לוחצים על שליחה.

    5. חוזרים על השלב הזה לגבי פריטי הגדרה נוספים, לפי הצורך.

    6. בדף המשימות, בקטע CI Lockup Rule, לוחצים על Mark as Complete (סימון כהושלמה).

  5. בדף המשימות, בקטע Ingestion Configuration (הגדרת הטמעה), לוחצים על Configure (הגדרה).

  6. לוחצים על New.

  7. הזן את פריטי המידע הבאים:

    שדה תיאור
    שם שם ייחודי לרשומה הזו
    הגדרה של Google SCC הגדרת האימות שיצרתם במאמר הגדרת אימות באמצעות Security Command Center. צריך הגדרת הטמעה אחת לכל אימות שהגדרתם.
    איסוף נתונים חוזר בחירה באפשרות לאפשר הטמעת נתונים רגילה מ-Security Command Center
    מרווח(שניות) מרווח הזמן בין עדכוני נתונים מ-Security Command Center
    איסוף נתונים חד-פעמי בוחרים באפשרות להרשאת הטמעת נתונים מ-Security Command Center. אי אפשר להשתמש ביומני ביקורת באיסוף נתונים חד-פעמי.
    שעת ההתחלה של האיסוף התאריך שבו מתחילים את הטמעת הנתונים מ-Security Command Center

    אל תבחרו באפשרות פעיל עד שתשלימו את השלבים הנותרים בקטע הזה.

  8. כדי להוסיף ממצאים, מבצעים את השלבים הבאים:

    1. בכרטיסייה ממצאים, בוחרים באפשרות מופעל. כשמפעילים את התכונה 'ממצאים', מופעלים אוטומטית גם הנכסים והמקורות.

    2. הזן את פריטי המידע הבאים:

      שדה תיאור
      מזהה המינוי של הממצאים באיסוף נתונים חוזר, שם המינוי ב-Pub/Sub לממצאים
      שם הממצא ב-Google SCC השם של שדה התקרית שאותו רוצים לאכלס בשם הממצא (לדוגמה, Description)
      מצב הממצאים ב-Google SCC שם שדה האירוע שאליו יאוכלס מצב הממצא (לדוגמה, Description)
      אינדיקטור של ממצא ב-Google SCC שם שדה התקרית שאותו רוצים לאכלס באמצעות אינדיקטור הממצא (לדוגמה, Description)
      שם המשאב של הממצא ב-Google SCC שם שדה האירוע שאליו יאוכלס שם המשאב של הממצא (לדוגמה, Description)
      ‫URI חיצוני של ממצא ב-Google SCC השם של שדה האירוע שאליו יאוכלס ה-URI שאם הוא זמין, מפנה לדף אינטרנט מחוץ ל-Security Command Center שבו אפשר למצוא מידע נוסף על הממצא.
      החלת מסננים אפשרות זמינה לאיסוף נתונים חד-פעמי. בוחרים באפשרות הזו כדי לציין אילו פרויקטים, מצבים, רמות חומרה או קטגוריות לכלול.
      שם הפרויקט שם הפרויקט שממנו רוצים לאחזר ממצאים, כשמסומנת האפשרות Apply Filters (החלת מסננים)
      מדינה האם הממצאים פעילים או לא פעילים, כשבוחרים באפשרות החלת מסננים
      חוּמרה רמת החומרה של הממצאים, כשבוחרים באפשרות החלת מסננים
      קטגוריה הקטגוריה שממנה רוצים לאחזר ממצאים, כשמסומנת האפשרות החלת מסננים

  9. כדי להוסיף נכסים, פועלים לפי השלבים הבאים:

    1. בכרטיסייה נכסים, בוחרים באפשרות מופעל.

    2. בשדה מזהה מינוי לנכס, אם מדובר באיסוף נתונים חוזר, מזינים את שם המינוי לנכסים ב-Pub/Sub.

  10. כדי להוסיף מקורות אבטחה, בכרטיסייה מקורות, בוחרים באפשרות מופעל.

  11. כדי להוסיף יומני ביקורת, צריך לבצע את השלבים הבאים:

    1. בכרטיסייה Audit Logs (יומני ביקורת), בוחרים באפשרות Enabled (מופעל).

    2. בשדה Audit Logs Subscription Id (מזהה מינוי ליומני ביקורת), מזינים את השם של המינוי ל-Pub/Sub עבור יומני ביקורת, אם מדובר באיסוף נתונים חוזר.

  12. לוחצים על שליחה.

  13. אם מופיעה ההודעה שההגדרה לא פעילה, לוחצים על אישור. בהמשך התהליך הזה תפעילו את ההגדרה.

  14. בדף המשימות, בקטע Ingestion Configuration (הגדרת ההעברה), לוחצים על Mark as Complete (סימון כהשלמה).

  15. כדי ליצור אירועים מממצאים, מבצעים את השלבים הבאים:

    1. בדף המשימות, בקטע Incident Creation Criteria (קריטריונים ליצירת אירועים) (ב-Google SCC for ITSM) או בקטע Security Incident Creation Criteria (קריטריונים ליצירת אירועים של אבטחה) (ב-Google SCC for SIR), לוחצים על Configure (הגדרה).

    2. לוחצים על השם של הגדרת האירוע שיצרתם.

    3. בדף Ingestion Configuration (הגדרת הטמעה), גוללים למטה ולוחצים על הכרטיסייה Incident Creation Criteria List (רשימת הקריטריונים ליצירת אירועים) (ב-Google SCC for ITSM) או על הכרטיסייה Security Incident Creation Criteria (קריטריונים ליצירת אירועי אבטחה) (ב-Google SCC for SIR).

    4. לוחצים על New.

    5. הזן את פריטי המידע הבאים:

      • תנאי: התנאי הדינמי שעל פיו נוצר אירוע, על סמך שדה. לדוגמה, אפשר ליצור אירועים לממצאים שבהם השדה חומרה מוגדר לגבוהה.

      • סדר: הסדר של התנאי הזה ביחס לתנאים אחרים.

    6. לוחצים על שליחה.

    7. חוזרים על שלבים ד עד ו לכל תנאי שרוצים ליצור עבורו אירועים.

    8. סוגרים את הדף Ingestion Configuration (הגדרת ההטמעה).

    9. בדף המשימות, בקטע Incident Creation Criteria (קריטריונים ליצירת אירוע) (ב-Google SCC for ITSM) או בקטע Security Incident Creation Criteria (קריטריונים ליצירת אירוע אבטחה) (ב-Google SCC for SIR), לוחצים על Mark as complete (סימון שהמשימה בוצעה).

  16. כדי להקצות אירועים לקבוצה, מבצעים את השלבים הבאים:

    1. בדף המשימות, בקטע קריטריונים של קבוצת מטלות, לוחצים על הגדרה.

    2. לוחצים על השם של הגדרת האירוע שיצרתם.

    3. בדף הגדרות הטמעת נתונים, גוללים למטה ולוחצים על הכרטיסייה רשימת קריטריונים של קבוצת הקצאות.

    4. לוחצים על New.

    5. הזן את פריטי המידע הבאים:

      • קבוצת הקצאה: הקבוצה שהאירועים יוקצו לה.

      • תנאי: התנאי הדינמי שלפיו מוקצה אירוע, על סמך השדה שצוין. לדוגמה, אתם יכולים להקצות אירועים לממצאים עם השדה Finding Class שהוגדר לערך Misconfiguration.

      • סדר: הסדר של התנאי הזה ביחס לתנאים אחרים.

    6. לוחצים על שליחה.

    7. חוזרים על שלבים ד עד ו לכל קבוצה שרוצים להקצות לה אירועים.

    8. סוגרים את הדף Ingestion Configuration (הגדרת ההטמעה).

    9. בדף המשימות, בקטע קריטריונים של קבוצת מטלות, לוחצים על סימון כ'בוצעה'.

  17. בדף המשימות, בקטע Activate Ingestion Configuration (הפעלת הגדרות ההעברה), לוחצים על Configure (הגדרה).

  18. לוחצים על השם של הגדרת האירוע שיצרתם.

  19. בוחרים באפשרות פעילים.

  20. כדי להתחיל לאסוף נתונים, לוחצים על איסוף נתונים.

  21. לוחצים על עדכון.

  22. בדף המשימות, בקטע Activate Ingestion Configuration (הפעלת הגדרת ההעברה), לוחצים על Mark as Complete (סימון כהשלמה).

אימות ההגדרות את ההגדרות

כדי לוודא ש-ServiceNow מאחזר נתונים מ-Security Command Center, צריך לבצע את השלבים הבאים.

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. במסוף ServiceNow, לוחצים על הכרטיסייה All (הכול).

  2. מחפשים את Google SCC ITSM או Google SCC SIR ולוחצים על Ingestion Configuration (הגדרת הטמעה).

  3. בודקים את הסטטוס כדי לוודא שהנתונים נאספים.

  4. מחפשים את Google SCC ITSM או את Google SCC SIR ולוחצים על אחת מהאפשרויות Assets (נכסים), Findings (ממצאים), Sources (מקורות) או Audit Logs (יומני ביקורת). אמורות להתווסף רשומות לכל נתון שהפעלתם. אם הגדרתם יצירה אוטומטית של אירועים, בהגדרות של ממצאים אמורים להופיע אירועים שקשורים לכל ממצא שתואם לקריטריונים שציינתם.

הצגת מרכזי הבקרה

אפליקציית Google SCC ITSM מאפשרת לכם להציג את הנתונים מ-Security Command Center. הוא כולל חמישה לוחות בקרה: סקירה כללית, מקורות, ממצאים, נכסים ויומני ביקורת.

אפשר לגשת ללוחות הבקרה האלה במסוף ServiceNow, מהדף All > Google SCC ITSM > Dashboards או מהדף All > Google SCC SIR > Dashboards.

לוח הבקרה של הסקירה הכללית

לוח הבקרה סקירה כללית מכיל סדרה של תרשימים שמציגים את המספר הכולל של הממצאים בארגון לפי רמת חומרה, קטגוריה ומצב. הממצאים נאספים משירותים מובנים ב-Security Command Center, כמו Security Health Analytics,‏ Web Security Scanner,‏ Event Threat Detection ו-זיהוי איומים בקונטיינר, וגם מכל שירות משולב שאתם מפעילים.

כדי לסנן תוכן, אפשר להגדיר את טווח הזמן ואת מזהה הארגון.

בתרשימים נוספים אפשר לראות אילו קטגוריות, פרויקטים ונכסים מניבים את הכי הרבה ממצאים.

לוח הבקרה של הנכסים

במרכז הבקרה נכסים מוצג תרשים של Google Cloud נכסים, שמסווגים לפי סוג הנכס.

אפשר לסנן את נתוני הנכסים לפי מזהה הארגון.

לוח הבקרה של יומני הביקורת

במרכז הבקרה יומני ביקורת מוצגים סדרה של תרשימים וטבלאות עם מידע מיומני הביקורת. יומני הביקורת שכלולים בלוח הבקרה הם יומני הביקורת של פעילות האדמין, גישה לנתונים, אירועים במערכת ודחיית מדיניות. הטבלה כוללת את השעה, שם היומן, רמת החומרה, שם השירות, שם המשאב וסוג המשאב.

אפשר לסנן את הנתונים לפי טווח זמן ומזהה ארגון.

מרכז הממצאים

לוח הבקרה Findings כולל טבלה עם 1,000 הממצאים האחרונים. עמודת הטבלה כוללת פריטים כמו קטגוריה, שם הנכס, שם המקור, סימני אבטחה, סיווג הממצא וחומרת הממצא.

אפשר לסנן את הנתונים לפי טווח זמן, מזהה ארגון, חומרה, מצב או סיווג של הממצא. אם הגדרתם יצירה אוטומטית של אירועים, בלוח הבקרה יופיע קישור לאירוע.

מרכז הבקרה של המקורות

בלוח הבקרה מקורות מוצגת טבלה של כל מקורות האבטחה. העמודות בטבלה כוללות את השם, השם לתצוגה והתיאור.

כדי לסנן תוכן, אפשר להגדיר את מזהה הארגון.

יצירת אירוע באופן ידני

  1. נכנסים למסוף ServiceNow כאדמין של Google SCC ITSM או Google SCC SIR.

  2. בכרטיסייה All, מחפשים את Google SCC ITSM או Google SCC SIR ולוחצים על Findings.

  3. לוחצים על הממצא שרוצים ליצור עבורו אירוע.

  4. בדף הממצאים, לוחצים על Create Incident (יצירת אירוע) עבור Google SCC ITSM, ועל Create Security Incident (יצירת אירוע אבטחה) עבור Google SCC SIR.

שינוי המצב של ממצא

אפשר לשנות את המצב של ממצא מפעיל ללא פעיל או מלא פעיל לפעיל.

  1. במסוף ServiceNow, בכרטיסייה All (הכול), מחפשים את Google SCC ITSM או Google SCC SIR ולוחצים על Findings (ממצאים).

  2. לוחצים על הממצא שרוצים לשנות את הסטטוס שלו.

  3. בדף הממצאים, לוחצים על ממצא פעיל או על ממצא לא פעיל.

  4. לוחצים על OK.

הסרת ההתקנה של האפליקציות

כדי לבצע את המשימה הזו, צריך להיות אדמין במערכת ServiceNow.

  1. במסוף ServiceNow, בכרטיסייה All, מחפשים את System Applications ולוחצים על All Available Applications > All.

  2. בוחרים באפשרות מותקן.

  3. בוחרים באפשרות Google SCC ITSM או Google SCC SIR ולוחצים על הסרה.

מגבלות

בקטע הזה מתוארות המגבלות שקשורות לשילוב הזה.

  • המספר המקסימלי של נכסים, ממצאים, מקורות או יומני ביקורת שאפשר לאחזר בכל קריאה ל-API הוא 1, 000.

  • אם התשובה לקריאה ל-Findings API היא אחת מהתשובות 429/5XX, האפליקציה תנסה שוב אחרי 60 שניות, עד 3 פעמים. אם הניסיון עדיין נכשל, התהליך נכשל. כדי לשנות את זמן התגובה:

    1. נכנסים למסוף ServiceNow כאדמין של Google SCC ITSM או Google SCC SIR.

    2. בכרטיסייה All, מחפשים את Google SCC ITSM או את Google SCC SIR ולוחצים על System Properties.

    3. בשדה Number of max retries for an invalid response from Google SCC (in numbers) (מספר הניסיונות החוזרים המקסימלי לתגובה לא תקפה מ-Google SCC (במספרים)), מזינים מספר שגדול מ-3.

    4. לוחצים על Save.

צפייה ביומני האפליקציות

כדי להציג את היומנים של האפליקציה:

  1. נכנסים למסוף ServiceNow כאדמין של Google SCC ITSM או Google SCC SIR.

  2. בכרטיסייה All (הכול), מחפשים את Google SCC ITSM או את Google SCC SIR ולוחצים על Administration > Application Logs (ניהול > יומני אפליקציות).

פתרון בעיות

אי אפשר להתקין את האפליקציה מחנות ServiceNow

  1. מוודאים שאתם מחוברים כאדמין המערכת של ServiceNow.

  2. בכרטיסייה הכול, מחפשים את אפליקציות מערכת ולוחצים על כל האפליקציות הזמינות > הכול.

  3. בודקים אם האפליקציה מופיעה בכרטיסייה Installed (מותקנות).

אי אפשר ליצור משתמש חדש

אם אתם משתמשים בגרסת Rome, תוכלו לעיין בהוראות שבמאמר יצירת משתמש.

אי אפשר לאחזר נתונים

הבעיה הזו יכולה להתרחש כשמאחזרים ממצאים, נכסים, מקורות או יומני ביקורת, ומופיעה ההודעה 'מתחילים בהעברת נתונים לפרופיל: PROFILE_NAME'.

  1. נכנסים למסוף ServiceNow כאדמין של Google SCC ITSM או Google SCC SIR.

  2. בכרטיסייה All (הכול), מחפשים את Google SCC ITSM או Google SCC SIR ולוחצים על Administration > System Properties (ניהול > מאפייני מערכת).

  3. מוודאים שהשדות הבאים לא ריקים:

    • מספר הניסיונות החוזרים המקסימלי לתגובה לא תקינה מ-Google SCC (במספרים)

    • חלון הזמן להמתנה לפני שליחת בקשה נוספת אחרי שמגיעים למגבלת הבקשות (באלפיות שנייה)

  4. אם השדות ריקים, מגדירים את הערכים באופן הבא:

    • מגדירים את השדה Number of max retries for an invalid response from Google SCC (in numbers) (מספר הניסיונות החוזרים המקסימלי לתגובה לא תקפה מ-Google SCC (במספרים)) לערך 3.

    • מגדירים את חלון הזמן להמתנה לפני שליחת בקשה נוספת אחרי שמגיעים למגבלת הבקשות (באלפיות שנייה) לערך 60000.

  5. לוחצים על Save.

אי אפשר להוסיף לאירוע יותר מ-250 הערות או פעילויות

  1. מתחברים למסוף ServiceNow כאדמין מערכת.

  2. בסרגל הניווט, מחפשים את sys_properties.list.

  3. בחלון System Proprties, יוצרים מסנן Name is glide.history.max_entries.

  4. לוחצים על Run.

  5. בחלון המאפיין, מגדירים את הערך למספר שגדול מ-250.

  6. לוחצים על עדכון.

אין תמיכה בקובץ המצורף

  1. מתחברים למסוף ServiceNow כאדמין מערכת.

  2. בכרטיסייה All (הכול), מחפשים את System Applications (אפליקציות מערכת) ולוחצים על Security (אבטחה).

  3. בדף מאפיינים של מערכת האבטחה, בודקים את רשימת התוספים ברשימת סיומות הקבצים (מופרדות בפסיקים) שאפשר לצרף למסמכים באמצעות תיבת הדו-שיח לצירוף קבצים. הסיומות לא יכולות לכלול את הנקודה (.), למשל xls,‏ xlsx,‏ doc,‏ docx. משאירים את השדה ריק כדי לאשר את כל התוספים.

חריגה ממשך ההפעלה המקסימלי

ההודעה הזו מוצגת כשמנסים לגשת ללוחות הבקרה.

לפתרון, אפשר לעיין בהודעה 'הווידג'ט בוטל – חריגה ממשך ההפעלה המקסימלי' שמופיעה בדף הבית.

המאמרים הבאים