# ServiceNow CMDB 감사 로그의 소스 구성
<a name="servicenow-cmdb-source-setup"></a>

## ServiceNow CMDB와 통합
<a name="servicenow-cmdb-integration"></a>

ServiceNow는 조직 전체에서 IT 자산, 구성, 변경 사항을 추적하고 관리하기 위한 IT 서비스 관리(ITSM) 및 구성 관리 데이터베이스(CMDB) 기능을 제공하는 엔터프라이즈 플랫폼입니다. CloudWatch Pipeline은 ServiceNow 테이블 API를 사용하여 ServiceNow 인스턴스에서 sys\_audit, syslog, sysevent, syslog\_transactions에 대한 정보를 검색합니다.

## ServiceNow CMDB로 인증
<a name="servicenow-cmdb-authentication"></a>

로그를 읽으려면 파이프라인이 ServiceNow 인스턴스로 인증해야 합니다. ServiceNow 테이블 API는 OAuth 2.0을 지원합니다.
+ ServiceNow 인스턴스에서 REST API가 활성화되어 있는지 확인합니다.
+ ServiceNow 인스턴스에서 OAuth 2.0 클라이언트 자격 증명 권한 부여 유형 활성화
+ 외부 클라이언트 인증을 위한 OAuth 애플리케이션 레지스트리 생성
+ AWS Secrets Manager에서 보안 암호를 생성한 후 `client_id`라는 키로 애플리케이션(클라이언트) ID를 저장하고 `client_secret`이라는 키로 클라이언트 보안 암호를 저장합니다.
+ OAuth 애플리케이션 사용자 구성 및 필요한 역할 할당

## CloudWatch 파이프라인 구성
<a name="servicenow-cmdb-pipeline-config"></a>

ServiceNow에서 감사 로그를 읽도록 파이프라인을 구성할 경우 ServiceNow CMDB를 데이터 소스로 선택합니다. `instance_url` 및 보안 암호(`client_id` 및 `client_secret`이 저장됨) 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

## 지원되는 Open Cybersecurity Schema Framework 이벤트 클래스
<a name="servicenow-cmdb-ocsf-events"></a>

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 엔터티 관리(3004), API 활동(6003), 데이터 저장소 활동(6005)에 매핑되는 이벤트를 지원합니다. 이러한 이벤트는 특정 테이블에서 가져온 것이며 CMDB 참조를 위해 필터링됩니다.

**엔터티 관리**에는 다음 테이블의 이벤트가 포함됩니다.
+ sys\_audit

**API 활동**에는 다음 테이블의 이벤트가 포함됩니다.
+ sysevent
+ syslog

**데이터 저장소 활동**에는 다음 테이블의 이벤트가 포함됩니다.
+ syslog\_transactions