# Configuración del origen para el registro de auditoría de CMDB de ServiceNow
<a name="servicenow-cmdb-source-setup"></a>

## Integración con CMDB de ServiceNow
<a name="servicenow-cmdb-integration"></a>

ServiceNow es una plataforma empresarial que proporciona capacidades de administración de servicios de TI (ITSM) y bases de datos de administración de configuraciones (CMDB) para hacer un seguimiento de los activos, las configuraciones y los cambios de TI y administrarlos en todas las organizaciones. La canalización de CloudWatch utiliza la API de tabla de ServiceNow para recuperar información sobre sys\_audit, syslog, sysevent y syslog\_transactions de la instancia de ServiceNow.

## Autenticación con CMDB de ServiceNow
<a name="servicenow-cmdb-authentication"></a>

Para leer los registros, la canalización debe autenticarse con la instancia de ServiceNow. La API de tabla de ServiceNow admite OAuth 2.0.
+ Asegúrese de que la API de REST esté activada en la instancia de ServiceNow.
+ Active el tipo de concesión de credenciales de cliente de OAuth 2.0 en la instancia de ServiceNow.
+ Cree un registro de aplicaciones de OAuth para la autenticación de clientes externos.
+ En AWS Secrets Manager, cree un secreto y almacene el ID de aplicación (cliente) en la clave `client_id` y el secreto de cliente en la clave `client_secret`.
+ Configure el usuario de la aplicación de OAuth y asigne los roles necesarios.

## Configuración de la canalización de CloudWatch
<a name="servicenow-cmdb-pipeline-config"></a>

Al configurar la canalización para leer los registros de auditoría de ServiceNow, elija CMDB de ServiceNow como origen de datos. Rellene la información obligatoria, como `instance_url`, y el secreto en el que se almacenan `client_id` y `client_secret`. Una vez que haya creado la canalización, los datos estarán disponibles en el grupo de registro de Registros de CloudWatch.

## Clases de eventos del Marco de esquema de ciberseguridad abierto compatibles
<a name="servicenow-cmdb-ocsf-events"></a>

Esta integración es compatible con la versión 1.5.0 del esquema OCSF y los eventos que se asignan a la administración de entidades (3004), la actividad de la API (6003) y la actividad de almacenes de datos (6005). Estos eventos provienen de tablas específicas y se filtran para la referencia de CMDB.

La **administración de entidades** contiene los eventos de las siguientes tablas:
+ sys\_audit

La **actividad de la API** contiene eventos de las siguientes tablas:
+ sysevent
+ syslog

La **actividad del almacén de datos** contiene eventos de las siguientes tablas:
+ syslog\_transactions