# Configuração de fonte para o log de auditoria do ServiceNow CMDB
<a name="servicenow-cmdb-source-setup"></a>

## Integrar com o ServiceNow CMDB
<a name="servicenow-cmdb-integration"></a>

ServiceNow é uma plataforma corporativa que fornece recursos de gerenciamento de serviços de TI (ITSM) e banco de dados de gerenciamento de configuração (CMDB) para controlar e gerenciar ativos, configurações e alterações de TI em todas as organizações. O CloudWatch Pipeline usa a API de tabela do ServiceNow para recuperar informações sobre sys\_audit, syslog, sysevent e syslog\_transactions da instância do ServiceNow.

## Autenticação no ServiceNow CMDB
<a name="servicenow-cmdb-authentication"></a>

Para ler os logs, o pipeline precisa ser autenticado na instância do ServiceNow. A API de tabela do ServiceNow é compatível com OAuth 2.0.
+ Certifique-se de que a API REST habilitada ativada na instância do ServiceNow.
+ Habilite o tipo de concessão de credenciais de cliente OAuth 2.0 na instância do ServiceNow
+ Crie um registro de aplicação OAuth para autenticação de clientes externos
+ No AWS Secrets Manager, crie um segredo e armazene o ID da aplicação (cliente) com a chave `client_id` e o segredo do cliente com a chave `client_secret`.
+ Configurar usuários de aplicações OAuth e atribuir os perfis necessários

## Configurar o CloudWatch Pipeline
<a name="servicenow-cmdb-pipeline-config"></a>

Ao configurar o pipeline para ler os logs de auditoria do ServiceNow, escolha o ServiceNow CMDB como a fonte de dados. Preencha as informações necessárias, como `instance_url` e o segredo onde `client_id` e `client_secret` estão armazenadas. Depois de criado o pipeline, os dados estarão disponíveis no grupo de logs do CloudWatch Logs selecionado.

## Classes de eventos do Open Cybersecurity Schema Framework compatíveis
<a name="servicenow-cmdb-ocsf-events"></a>

Essa integração é compatível com o esquema OCSF versão v1.5.0 e eventos que são mapeados para Entity Management (3004), API Activity (6003) e Datastore Activity (6005). Esses eventos são de tabelas específicas e são filtrados para referência do CMDB.

**Entity Management** inclui eventos das seguintes tabelas:
+ sys\_audit

**API Activity** inclui eventos das seguintes tabelas:
+ sysevent
+ syslog

**Datastore Activity** inclui eventos das seguintes tabelas:
+ syslog\_transactions