Configurazione del codice sorgente per CMDB Audit ServiceNow Log - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del codice sorgente per CMDB Audit ServiceNow Log

Integrazione con CMDB ServiceNow

ServiceNow è una piattaforma aziendale che fornisce funzionalità di gestione dei servizi IT (ITSM) e database di gestione della configurazione (CMDB) per tracciare e gestire risorse IT, configurazioni e modifiche tra le organizzazioni. CloudWatch Pipeline utilizza l'API ServiceNow Table per recuperare informazioni su sys_audit, syslog, sysevent e syslog_transactions dall'istanza. ServiceNow

ServiceNow Autenticazione con CMDB

Per leggere i log, la pipeline deve autenticarsi con l'istanza. ServiceNow L'API ServiceNow Table supporta la versione 2.0. OAuth

  • Assicurati che l'API REST sia abilitata sulla tua ServiceNow istanza.

  • Abilita il tipo di concessione Client Credentials OAuth 2.0 nella tua istanza ServiceNow

  • Crea un registro OAuth delle applicazioni per l'autenticazione del client esterno

  • In Gestione dei segreti AWS, crea un segreto e archivia l'ID dell'applicazione (client) sotto la chiave client_id e il segreto del client sotto la chiaveclient_secret.

  • Configura OAuth l'utente dell'applicazione e assegna i ruoli richiesti

Configurazione della pipeline CloudWatch

Quando configurate la pipeline per la lettura dei log di controllo, ServiceNow scegliete ServiceNow CMDB come fonte di dati. Inserisci le informazioni richieste, ad esempio, instance_url e il luogo segreto in cui client_id sono archiviate. client_secret Una volta creata la pipeline, i dati saranno disponibili nel gruppo di log CloudWatch Logs selezionato.

Classi di eventi Open Cybersecurity Schema Framework supportate

Questa integrazione supporta la versione dello schema OCSF v1.5.0 e gli eventi mappati a Entity Management (3004), API Activity (6003) e Datastore Activity (6005). Questi eventi provengono da tabelle specifiche e filtrati per riferimento CMDB.

Entity Management contiene gli eventi delle seguenti tabelle:

  • sys_audit

L'attività dell'API contiene eventi dalle seguenti tabelle:

  • sysevent

  • syslog

Datastore Activity contiene gli eventi delle seguenti tabelle:

  • syslog_transactions