View a markdown version of this page

Configuración del origen para el registro de auditoría de CMDB de ServiceNow - Amazon CloudWatch
Integración con CMDB de ServiceNowAutenticación con CMDB de ServiceNowConfiguración de la canalización de CloudWatchClases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Configuración del origen para el registro de auditoría de CMDB de ServiceNow

Integración con CMDB de ServiceNow

ServiceNow es una plataforma empresarial que proporciona capacidades de administración de servicios de TI (ITSM) y bases de datos de administración de configuraciones (CMDB) para hacer un seguimiento de los activos, las configuraciones y los cambios de TI y administrarlos en todas las organizaciones. La canalización de CloudWatch utiliza la API de tabla de ServiceNow para recuperar información sobre sys_audit, syslog, sysevent y syslog_transactions de la instancia de ServiceNow.

Autenticación con CMDB de ServiceNow

Para leer los registros, la canalización debe autenticarse con la instancia de ServiceNow. La API de tabla de ServiceNow admite OAuth 2.0.

  • Asegúrese de que la API de REST esté activada en la instancia de ServiceNow.

  • Active el tipo de concesión de credenciales de cliente de OAuth 2.0 en la instancia de ServiceNow.

  • Cree un registro de aplicaciones de OAuth para la autenticación de clientes externos.

  • En AWS Secrets Manager, cree un secreto y almacene el ID de aplicación (cliente) en la clave client_id y el secreto de cliente en la clave client_secret.

  • Configure el usuario de la aplicación de OAuth y asigne los roles necesarios.

Configuración de la canalización de CloudWatch

Al configurar la canalización para leer los registros de auditoría de ServiceNow, elija CMDB de ServiceNow como origen de datos. Rellene la información obligatoria, como instance_url, y el secreto en el que se almacenan client_id y client_secret. Una vez que haya creado la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos que se asignan a la administración de entidades (3004), la actividad de la API (6003) y la actividad de almacenes de datos (6005). Estos eventos provienen de tablas específicas y se filtran para la referencia de CMDB.

La administración de entidades contiene los eventos de las siguientes tablas:

  • sys_audit

La actividad de la API contiene eventos de las siguientes tablas:

  • sysevent

  • syslog

La actividad del almacén de datos contiene eventos de las siguientes tablas:

  • syslog_transactions