Configuration de la source pour le ServiceNow journal d'audit CMDB - Amazon CloudWatch
Intégration à ServiceNow CMDBAuthentification avec CMDB ServiceNow Configuration du CloudWatch pipelineClasses d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la source pour le ServiceNow journal d'audit CMDB

Intégration à ServiceNow CMDB

ServiceNow est une plate-forme d'entreprise qui fournit des fonctionnalités de gestion des services informatiques (ITSM) et de base de données de gestion des configurations (CMDB) pour le suivi et la gestion des actifs informatiques, des configurations et des modifications au sein des organisations. CloudWatch Pipeline utilise l'API ServiceNow Table pour récupérer des informations sur sys_audit, syslog, sysevent et syslog_transactions à partir de votre instance. ServiceNow

Authentification avec CMDB ServiceNow

Pour lire les journaux, le pipeline doit s'authentifier auprès de votre ServiceNow instance. L'API ServiceNow Table est compatible avec la OAuth version 2.0.

  • Assurez-vous que l'API REST est activée sur votre ServiceNow instance.

  • Activez le type d'autorisation des informations d'identification client OAuth 2.0 dans votre ServiceNow instance

  • Création d'un registre OAuth d'applications pour l'authentification des clients externes

  • Dans le AWS Secrets Manager, créez un secret et stockez l'ID de l'application (client) sous la clé client_id et le secret du client sous la cléclient_secret.

  • Configuration de OAuth l'utilisateur de l'application et attribution des rôles requis

Configuration du CloudWatch pipeline

Lorsque vous configurez le pipeline pour lire les journaux d'audit, ServiceNow choisissez ServiceNow CMDB comme source de données. Remplissez les informations requises, telles que instance_url le secret où client_id et où client_secret sont stockés. Une fois le pipeline créé, les données seront disponibles dans le groupe de CloudWatch journaux Logs sélectionné.

Classes d'événements du cadre de schéma de cybersécurité ouvert prises en charge

Cette intégration prend en charge la version v1.5.0 du schéma OCSF et les événements associés à la gestion des entités (3004), à l'activité des API (6003) et à l'activité du magasin de données (6005). Ces événements proviennent de tables spécifiques et sont filtrés pour référence à la CMDB.

Entity Management contient des événements provenant des tableaux suivants :

  • sys_audit

L'activité de l'API contient des événements issus des tableaux suivants :

  • sysevent

  • syslog

L'activité de la banque de données contient des événements provenant des tableaux suivants :

  • Syslog_transactions