Quellkonfiguration für ServiceNow CMDB Audit Log - Amazon CloudWatch
Integration mit ServiceNow CMDBAuthentifizierung mit CMDB ServiceNow Konfiguration der CloudWatch PipelineUnterstützte Open Cybersecurity Schema Framework-Eventklassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Quellkonfiguration für ServiceNow CMDB Audit Log

Integration mit ServiceNow CMDB

ServiceNow ist eine Unternehmensplattform, die Funktionen für IT-Servicemanagement (ITSM) und Configuration Management Database (CMDB) zur unternehmensübergreifenden Nachverfolgung und Verwaltung von IT-Assets, -Konfigurationen und -Änderungen bietet. CloudWatch Pipeline verwendet die ServiceNow Tabellen-API, um Informationen über sys_audit, syslog, sysevent und syslog_transactions von Ihrer Instanz abzurufen. ServiceNow

Authentifizierung mit CMDB ServiceNow

Um die Protokolle lesen zu können, muss sich die Pipeline bei Ihrer Instanz authentifizieren. ServiceNow Die ServiceNow Tabellen-API unterstützt OAuth 2.0.

  • Stellen Sie sicher, dass die REST-API auf Ihrer ServiceNow Instance aktiviert ist.

  • Aktivieren Sie den Gewährungstyp OAuth 2.0 Client Credentials in Ihrer ServiceNow Instanz

  • Erstellen Sie eine OAuth Anwendungsregistrierung für die externe Client-Authentifizierung

  • Erstellen Sie in der AWS Secrets Manager ein Geheimnis und speichern Sie die Anwendungs-ID (Client) unter dem Schlüssel client_id und das Client-Geheimnis unter dem Schlüsselclient_secret.

  • Konfigurieren Sie den OAuth Anwendungsbenutzer und weisen Sie die erforderlichen Rollen zu

Konfiguration der CloudWatch Pipeline

Wenn Sie die Pipeline zum Lesen von Audit-Logs konfigurieren, ServiceNow wählen Sie ServiceNow CMDB als Datenquelle. Geben Sie die erforderlichen Informationen wie instance_url und wo das Geheimnis ein client_id und wo sie gespeichert client_secret sind. Sobald Sie die Pipeline erstellt haben, sind die Daten in der ausgewählten Protokollgruppe CloudWatch Logs verfügbar.

Unterstützte Open Cybersecurity Schema Framework-Eventklassen

Diese Integration unterstützt die OCSF-Schemaversion v1.5.0 und Ereignisse, die Entity Management (3004), API-Aktivität (6003) und Datastore-Aktivität (6005) zugeordnet sind. Diese Ereignisse stammen aus bestimmten Tabellen und wurden nach CMDB-Referenzen gefiltert.

Entity Management enthält Ereignisse aus den folgenden Tabellen:

  • sys_audit

Die API-Aktivität enthält Ereignisse aus den folgenden Tabellen:

  • sysevent

  • syslog

Die Datenspeicheraktivität enthält Ereignisse aus den folgenden Tabellen:

  • syslog_transactions