ServiceNow CMDB Audit Log 的来源配置 - Amazon CloudWatch
与 ServiceNow CMDB 集成使用 ServiceNow CMDB 进行身份验证配置 CloudWatch 管道支持的开放式网络安全架构框架事件类

ServiceNow CMDB Audit Log 的来源配置

与 ServiceNow CMDB 集成

ServiceNow 是一个企业平台,可提供 IT 服务管理(ITSM)和配置管理数据库(CMDB)功能,用于跟踪和管理组织间的 IT 资产、配置和更改。CloudWatch Pipeline 使用 ServiceNow Table API 从 ServiceNow 实例中检索有关 sys_audit、syslog、sysevent 和 syslog_transactions 的信息。

使用 ServiceNow CMDB 进行身份验证

要读取日志,管道需要使用 ServiceNow 实例进行身份验证。ServiceNow Table API 支持 OAuth 2.0。

  • 确保在 ServiceNow 实例上启用了 REST API。

  • 在 ServiceNow 实例中启用 OAuth 2.0 客户端凭证授权类型

  • 为外部客户端身份验证创建 OAuth 应用程序注册表

  • 在 AWS Secrets Manager 中创建密钥,将应用程序(客户端)ID 存储在 client_id 键下,将客户端密钥存储在 client_secret 键下。

  • 配置 OAuth 应用程序用户并分配所需角色

配置 CloudWatch 管道

将管道配置为从 ServiceNow 读取审计日志时,请选择 ServiceNow CMDB 作为数据来源。填写必填信息,例如 instance_url 以及存储 client_idclient_secret 的密钥。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。

支持的开放式网络安全架构框架事件类

此集成支持 OCSF 架构版本 1.5.0 以及映射到“实体管理”(3004)、“API 活动”(6003)和“数据存储活动”(6005)的事件。这些事件来自特定表,经过筛选以供 CMDB 参考。

实体管理包含下表中的事件:

  • sys_audit

API 活动包含下表中的事件:

  • sysevent

  • syslog

数据存储活动包含下表中的事件:

  • syslog_transactions