Configuração de fonte para o log de auditoria do ServiceNow CMDB - Amazon CloudWatch
Integrar com o ServiceNow CMDBAutenticação no ServiceNow CMDBConfigurar o CloudWatch PipelineClasses de eventos do Open Cybersecurity Schema Framework compatíveis

Configuração de fonte para o log de auditoria do ServiceNow CMDB

Integrar com o ServiceNow CMDB

ServiceNow é uma plataforma corporativa que fornece recursos de gerenciamento de serviços de TI (ITSM) e banco de dados de gerenciamento de configuração (CMDB) para controlar e gerenciar ativos, configurações e alterações de TI em todas as organizações. O CloudWatch Pipeline usa a API de tabela do ServiceNow para recuperar informações sobre sys_audit, syslog, sysevent e syslog_transactions da instância do ServiceNow.

Autenticação no ServiceNow CMDB

Para ler os logs, o pipeline precisa ser autenticado na instância do ServiceNow. A API de tabela do ServiceNow é compatível com OAuth 2.0.

  • Certifique-se de que a API REST habilitada ativada na instância do ServiceNow.

  • Habilite o tipo de concessão de credenciais de cliente OAuth 2.0 na instância do ServiceNow

  • Crie um registro de aplicação OAuth para autenticação de clientes externos

  • No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave client_id e o segredo do cliente com a chave client_secret.

  • Configurar usuários de aplicações OAuth e atribuir os perfis necessários

Configurar o CloudWatch Pipeline

Ao configurar o pipeline para ler os logs de auditoria do ServiceNow, escolha o ServiceNow CMDB como a fonte de dados. Preencha as informações necessárias, como instance_url e o segredo onde client_id e client_secret estão armazenadas. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

Classes de eventos do Open Cybersecurity Schema Framework compatíveis

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Entity Management (3004), API Activity (6003) e Datastore Activity (6005). Esses eventos são de tabelas específicas e são filtrados para referência do CMDB.

Entity Management inclui eventos das seguintes tabelas:

  • sys_audit

API Activity inclui eventos das seguintes tabelas:

  • sysevent

  • syslog

Datastore Activity inclui eventos das seguintes tabelas:

  • syslog_transactions