ServiceNow CMDB 감사 로그의 소스 구성
ServiceNow CMDB와 통합
ServiceNow는 조직 전체에서 IT 자산, 구성, 변경 사항을 추적하고 관리하기 위한 IT 서비스 관리(ITSM) 및 구성 관리 데이터베이스(CMDB) 기능을 제공하는 엔터프라이즈 플랫폼입니다. CloudWatch Pipeline은 ServiceNow 테이블 API를 사용하여 ServiceNow 인스턴스에서 sys_audit, syslog, sysevent, syslog_transactions에 대한 정보를 검색합니다.
ServiceNow CMDB로 인증
로그를 읽으려면 파이프라인이 ServiceNow 인스턴스로 인증해야 합니다. ServiceNow 테이블 API는 OAuth 2.0을 지원합니다.
ServiceNow 인스턴스에서 REST API가 활성화되어 있는지 확인합니다.
ServiceNow 인스턴스에서 OAuth 2.0 클라이언트 자격 증명 권한 부여 유형 활성화
외부 클라이언트 인증을 위한 OAuth 애플리케이션 레지스트리 생성
AWS Secrets Manager에서 보안 암호를 생성한 후
client_id라는 키로 애플리케이션(클라이언트) ID를 저장하고client_secret이라는 키로 클라이언트 보안 암호를 저장합니다.OAuth 애플리케이션 사용자 구성 및 필요한 역할 할당
CloudWatch 파이프라인 구성
ServiceNow에서 감사 로그를 읽도록 파이프라인을 구성할 경우 ServiceNow CMDB를 데이터 소스로 선택합니다. instance_url 및 보안 암호(client_id 및 client_secret이 저장됨) 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.
지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 엔터티 관리(3004), API 활동(6003), 데이터 저장소 활동(6005)에 매핑되는 이벤트를 지원합니다. 이러한 이벤트는 특정 테이블에서 가져온 것이며 CMDB 참조를 위해 필터링됩니다.
엔터티 관리에는 다음 테이블의 이벤트가 포함됩니다.
sys_audit
API 활동에는 다음 테이블의 이벤트가 포함됩니다.
sysevent
syslog
데이터 저장소 활동에는 다음 테이블의 이벤트가 포함됩니다.
syslog_transactions
