ServiceNow CMDB との統合 ServiceNow CMDB による認証 CloudWatch パイプラインの設定サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

ServiceNow CMDB 監査ログのソース設定

ServiceNow CMDB との統合

ServiceNow は、組織全体の IT アセット、設定、および変更を追跡および管理するための IT サービス管理 (ITSM) および設定管理データベース (CMDB) 機能を提供するエンタープライズプラットフォームです。CloudWatch パイプラインは ServiceNow Table API を使用して、ServiceNow インスタンスから sys_audit、syslog、sysevent、および syslog_transactions に関する情報を取得します。

ServiceNow CMDB による認証

ログを読み込むには、パイプラインが ServiceNow インスタンスで認証される必要があります。ServiceNow Table API は OAuth 2.0 をサポートしています。

ServiceNow インスタンスで REST API が有効になっていることを確認します。
ServiceNow インスタンスで OAuth 2.0 Client Credentials 付与タイプを有効にします。
外部クライアント認証用の OAuth アプリケーションレジストリを作成します。
AWS Secrets Manager でシークレットを作成し、アプリケーション (クライアント) ID をキー client_id の下に、クライアントシークレットをキー client_secret の下に保存します。
OAuth アプリケーションユーザーを設定し、必要なロールを割り当てます。

CloudWatch パイプラインの設定

ServiceNow から監査ログを読み込むようにパイプラインを設定するときは、データソースとして ServiceNow CMDB を選択します。instance_url や、client_id と client_secret が保存されているシークレットなどの必要な情報を入力します。パイプラインを作成すると、選択した CloudWatch Logs ロググループでデータを使用できます。

サポートされているオープンサイバーセキュリティスキーマフレームワークイベントクラス

この統合では、OCSF スキーマバージョン v1.5.0 と、エンティティ管理 (3004)、API アクティビティ(6003)、およびデータストアアクティビティ (6005) にマッピングするイベントがサポートされています。これらのイベントは特定のテーブルから取得され、CMDB 参照用にフィルタリングされます。

エンティティ管理には、次のテーブルからのイベントが含まれます。

sys_audit

API アクティビティには、次のテーブルからのイベントが含まれます。

sysevent
syslog

データストアアクティビティには、次のテーブルからのイベントが含まれます。

syslog_transactions

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ServiceNow CMDB 監査ログ

パイプラインの設定