이 페이지는 Cloud Translation API를 통해 번역되었습니다.

ServiceNow 감사 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 여러 방법을 사용하여 ServiceNow 감사 로그를 Google Security Operations로 수집하는 방법을 설명합니다.

옵션 A: Lambda를 사용하는 AWS S3

이 메서드는 AWS Lambda를 사용하여 ServiceNow REST API에서 감사 로그를 주기적으로 쿼리하고 S3 버킷에 저장합니다. 그러면 Google Security Operations가 S3 버킷에서 로그를 수집합니다.

시작하기 전에

Google SecOps 인스턴스
ServiceNow 테넌트 또는 API에 대한 액세스 권한
AWS (S3, IAM, Lambda, EventBridge)에 대한 액세스 권한

ServiceNow 기본 요건 (ID, API 키, 조직 ID, 토큰) 수집

ServiceNow 관리 콘솔에 로그인합니다.
시스템 보안 > 사용자 및 그룹 > 사용자로 이동합니다.
감사 로그에 액세스할 수 있는 적절한 권한이 있는 새 사용자를 만들거나 기존 사용자를 선택합니다.
다음 세부정보를 복사하여 안전한 위치에 저장합니다.
- 사용자 이름
- 비밀번호
- 인스턴스 URL (예: https://instance.service-now.com)

Google SecOps용 AWS S3 버킷 및 IAM 구성

이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다(예: servicenow-audit-logs).
이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
생성된 사용자를 선택합니다.
보안용 사용자 인증 정보 탭을 선택합니다.
액세스 키 섹션에서 액세스 키 만들기를 클릭합니다.
사용 사례로 서드 파티 서비스를 선택합니다.
다음을 클릭합니다.
선택사항: 설명 태그를 추가합니다.
액세스 키 만들기를 클릭합니다.
CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
완료를 클릭합니다.
권한 탭을 선택합니다.
권한 정책 섹션에서 권한 추가를 클릭합니다 .
권한 추가를 선택합니다.
정책 직접 연결을 선택합니다.
AmazonS3FullAccess 정책을 검색하여 선택합니다.
다음을 클릭합니다.
권한 추가를 클릭합니다.

S3 업로드용 IAM 정책 및 역할 구성

AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.

아래 정책을 복사하여 붙여넣습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutObjects",
      "Effect": "Allow",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::servicenow-audit-logs/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::servicenow-audit-logs/audit-logs/state.json"
    }
  ]
}

다른 버킷 이름을 입력한 경우 servicenow-audit-logs을 바꿉니다.

다음 > 정책 만들기를 클릭합니다.
IAM > 역할 > 역할 생성 > AWS 서비스 > Lambda로 이동합니다.
새로 만든 정책을 연결합니다.
역할 이름을 servicenow-audit-lambda-role로 지정하고 역할 만들기를 클릭합니다.

Lambda 함수 만들기

AWS 콘솔에서 Lambda > 함수 > 함수 만들기로 이동합니다.
처음부터 작성을 클릭합니다.
다음 구성 세부정보를 제공합니다.

설정 값

이름 servicenow-audit-collector

런타임 Python 3.13

아키텍처 x86_64

실행 역할 servicenow-audit-lambda-role

설정	값
이름	`servicenow-audit-collector`
런타임	Python 3.13
아키텍처	x86_64
실행 역할	`servicenow-audit-lambda-role`

함수를 만든 후 코드 탭을 열고 스텁을 삭제하고 다음 코드를 입력합니다 (servicenow-audit-collector.py).

import urllib3
import json
import os
import datetime
import boto3
import base64

def lambda_handler(event, context):
    # ServiceNow API details
    base_url = os.environ['API_BASE_URL']  # e.g., https://instance.service-now.com
    username = os.environ['API_USERNAME']
    password = os.environ['API_PASSWORD']

    # S3 details
    s3_bucket = os.environ['S3_BUCKET']
    s3_prefix = os.environ['S3_PREFIX']

    # State management
    state_key = os.environ.get('STATE_KEY', f"{s3_prefix}/state.json")

    # Pagination settings
    page_size = int(os.environ.get('PAGE_SIZE', '1000'))
    max_pages = int(os.environ.get('MAX_PAGES', '1000'))

    # Initialize S3 client
    s3 = boto3.client('s3')

    # Get last run timestamp from state file
    last_run_timestamp = get_last_run_timestamp(s3, s3_bucket, state_key)

    # Current timestamp for this run
    current_timestamp = datetime.datetime.now().isoformat()

    # Query ServiceNow API for audit logs with pagination
    audit_logs = get_audit_logs(base_url, username, password, last_run_timestamp, page_size, max_pages)

    if audit_logs:
        # Write logs to S3 in NDJSON format (newline-delimited JSON)
        timestamp = datetime.datetime.now().strftime('%Y-%m-%d-%H-%M-%S')
        s3_key = f"{s3_prefix}/servicenow-audit-{timestamp}.ndjson"

        # Format as NDJSON: one JSON object per line
        body = "\n".join(json.dumps(log) for log in audit_logs) + "\n"

        s3.put_object(
            Bucket=s3_bucket,
            Key=s3_key,
            Body=body,
            ContentType='application/x-ndjson'
        )

        # Update state file
        update_state_file(s3, s3_bucket, state_key, current_timestamp)

        return {
            'statusCode': 200,
            'body': json.dumps(f'Successfully exported {len(audit_logs)} audit logs to S3')
        }
    else:
        return {
            'statusCode': 200,
            'body': json.dumps('No new audit logs to export')
        }

def get_last_run_timestamp(s3, bucket, key):
    try:
        response = s3.get_object(Bucket=bucket, Key=key)
        state = json.loads(response['Body'].read().decode('utf-8'))
        return state.get('last_run_timestamp', '1970-01-01T00:00:00')
    except:
        return '1970-01-01T00:00:00'

def update_state_file(s3, bucket, key, timestamp):
    state = {'last_run_timestamp': timestamp}
    s3.put_object(
        Bucket=bucket,
        Key=key,
        Body=json.dumps(state),
        ContentType='application/json'
    )

def get_audit_logs(base_url, username, password, last_run_timestamp, page_size=1000, max_pages=1000):
    """
    Query ServiceNow sys_audit table with proper pagination.
    Uses sys_created_on field for timestamp filtering.
    """
    # Encode credentials
    auth_string = f"{username}:{password}"
    auth_bytes = auth_string.encode('ascii')
    auth_encoded = base64.b64encode(auth_bytes).decode('ascii')

    # Setup HTTP client
    http = urllib3.PoolManager()

    headers = {
        'Authorization': f'Basic {auth_encoded}',
        'Accept': 'application/json'
    }

    results = []
    offset = 0

    for page in range(max_pages):
        # Build query with pagination
        # Use sys_created_on (not created_on) for timestamp filtering
        query_params = (
            f"sysparm_query=sys_created_onAFTER{last_run_timestamp}"
            f"&sysparm_display_value=true"
            f"&sysparm_limit={page_size}"
            f"&sysparm_offset={offset}"
        )

        url = f"{base_url}/api/now/table/sys_audit?{query_params}"

        try:
            response = http.request('GET', url, headers=headers)

            if response.status == 200:
                data = json.loads(response.data.decode('utf-8'))
                chunk = data.get('result', [])
                results.extend(chunk)

                # Stop if we got fewer records than page_size (last page)
                if len(chunk) < page_size:
                    break

                # Move to next page
                offset += page_size
            else:
                print(f"Error querying ServiceNow API: {response.status} - {response.data.decode('utf-8')}")
                break
        except Exception as e:
            print(f"Exception querying ServiceNow API: {str(e)}")
            break

    return results

구성 > 환경 변수 > 수정 > 새 환경 변수 추가로 이동합니다.

다음 환경 변수를 입력하고 값으로 바꿉니다.

키	예시 값
`S3_BUCKET`	`servicenow-audit-logs`
`S3_PREFIX`	`audit-logs/`
`STATE_KEY`	`audit-logs/state.json`
`API_BASE_URL`	`https://instance.service-now.com`
`API_USERNAME`	`<your-username>`
`API_PASSWORD`	`<your-password>`
`PAGE_SIZE`	`1000`
`MAX_PAGES`	`1000`

함수가 생성된 후 해당 페이지에 머무르거나 Lambda > 함수 > servicenow-audit-collector를 엽니다.
구성 탭을 선택합니다.
일반 구성 패널에서 수정을 클릭합니다.
제한 시간을 5분 (300초)로 변경하고 저장을 클릭합니다.

참고: 제한 시간은 엄격한 상한입니다. 즉, 타이머가 5분에 도달할 때 함수가 계속 실행 중이면 AWS Lambda가 종료합니다. 더 짧은 실행은 정상적으로 종료되며 실제 실행 시간에 대해서만 요금이 청구됩니다.

EventBridge 일정 만들기

Amazon EventBridge > 스케줄러 > 일정 만들기로 이동합니다.
다음 구성 세부정보를 제공합니다.
- 반복 일정: 요금 (1 hour)
- 타겟: Lambda 함수 servicenow-audit-collector
- 이름: servicenow-audit-collector-1h.
일정 만들기를 클릭합니다.

ServiceNow 감사 로그를 수집하도록 Google SecOps에서 피드 구성

SIEM 설정> 피드로 이동합니다.
+ 새 피드 추가를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: ServiceNow Audit logs).
소스 유형으로 Amazon S3 V2를 선택합니다.
로그 유형으로 ServiceNow 감사를 선택합니다.
다음을 클릭합니다.
다음 입력 파라미터의 값을 지정합니다.
- S3 URI: s3://servicenow-audit-logs/audit-logs/
- 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키
- 보안 비밀 액세스 키: S3 버킷에 액세스할 수 있는 사용자 보안 비밀 키입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

옵션 B: syslog가 있는 Bindplane 에이전트

이 메서드는 Bindplane 에이전트를 사용하여 ServiceNow 감사 로그를 수집하고 Google Security Operations로 전달합니다. ServiceNow는 감사 로그용 syslog를 기본적으로 지원하지 않으므로 스크립트를 사용하여 ServiceNow REST API를 쿼리하고 syslog를 통해 로그를 Bindplane 에이전트로 전달합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
systemd가 설치된 Windows 2016 이상 또는 Linux 호스트
프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
ServiceNow 관리 콘솔 또는 어플라이언스에 대한 권한 액세스

Google SecOps 수집 인증 파일 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 수집 에이전트로 이동합니다.
수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.

Google SecOps 고객 ID 가져오기

Google SecOps 콘솔에 로그인합니다.
SIEM 설정 > 프로필로 이동합니다.
조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.

Bindplane 에이전트 설치

다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.

Linux 설치

루트 또는 sudo 권한으로 터미널을 엽니다.

다음 명령어를 실행합니다.

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

추가 설치 리소스

추가 설치 옵션은 이 설치 가이드를 참고하세요.

Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성

구성 파일에 액세스합니다.
1. config.yaml 파일을 찾습니다. 일반적으로 Linux에서는 /etc/bindplane-agent/ 디렉터리에 있고 Windows에서는 설치 디렉터리에 있습니다.
2. 텍스트 편집기 (예: nano, vi, 메모장)를 사용하여 파일을 엽니다.

다음과 같이 config.yaml 파일을 수정합니다.

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <YOUR_CUSTOMER_ID>
    # Replace with the appropriate regional endpoint
    endpoint: <CUSTOMER_REGION_ENDPOINT>
    # Add optional ingestion labels for better organization
    log_type: 'SERVICENOW_AUDIT'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<YOUR_CUSTOMER_ID>를 실제 고객 ID로 바꿉니다.
<CUSTOMER_REGION_ENDPOINT>을 리전별 엔드포인트 문서의 적절한 리전별 엔드포인트로 바꿉니다.
Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로 /path/to/ingestion-authentication-file.json를 업데이트합니다.

Bindplane 에이전트를 다시 시작하여 변경사항 적용

Linux에서 Bindplane 에이전트를 다시 시작하려면 다음 명령어를 실행합니다.
```
sudo systemctl restart bindplane-agent
```
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
```
net stop BindPlaneAgent && net start BindPlaneAgent
```

ServiceNow 감사 로그를 syslog로 전달하는 스크립트 만들기

ServiceNow는 감사 로그에 대해 syslog를 기본적으로 지원하지 않으므로 ServiceNow REST API를 쿼리하고 로그를 syslog로 전달하는 스크립트를 만듭니다. 이 스크립트는 주기적으로 실행되도록 예약할 수 있습니다.

Python 스크립트 예시 (Linux)

다음 콘텐츠로 servicenow_audit_to_syslog.py이라는 파일을 만듭니다.

import urllib3
import json
import datetime
import base64
import socket
import time
import os

# ServiceNow API details
BASE_URL = 'https://instance.service-now.com'  # Replace with your ServiceNow instance URL
USERNAME = 'admin'  # Replace with your ServiceNow username
PASSWORD = 'password'  # Replace with your ServiceNow password

# Syslog details
SYSLOG_SERVER = '127.0.0.1'  # Replace with your Bindplane agent IP
SYSLOG_PORT = 514  # Replace with your Bindplane agent port

# State file to keep track of last run
STATE_FILE = '/tmp/servicenow_audit_last_run.txt'

# Pagination settings
PAGE_SIZE = 1000
MAX_PAGES = 1000

def get_last_run_timestamp():
    try:
        with open(STATE_FILE, 'r') as f:
            return f.read().strip()
    except:
        return '1970-01-01T00:00:00'

def update_state_file(timestamp):
    with open(STATE_FILE, 'w') as f:
        f.write(timestamp)

def send_to_syslog(message):
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    sock.sendto(message.encode(), (SYSLOG_SERVER, SYSLOG_PORT))
    sock.close()

def get_audit_logs(last_run_timestamp):
    """
    Query ServiceNow sys_audit table with proper pagination.
    Uses sys_created_on field for timestamp filtering.
    """
    # Encode credentials
    auth_string = f"{USERNAME}:{PASSWORD}"
    auth_bytes = auth_string.encode('ascii')
    auth_encoded = base64.b64encode(auth_bytes).decode('ascii')

    # Setup HTTP client
    http = urllib3.PoolManager()

    headers = {
        'Authorization': f'Basic {auth_encoded}',
        'Accept': 'application/json'
    }

    results = []
    offset = 0

    for page in range(MAX_PAGES):
        # Build query with pagination
        # Use sys_created_on (not created_on) for timestamp filtering
        query_params = (
            f"sysparm_query=sys_created_onAFTER{last_run_timestamp}"
            f"&sysparm_display_value=true"
            f"&sysparm_limit={PAGE_SIZE}"
            f"&sysparm_offset={offset}"
        )

        url = f"{BASE_URL}/api/now/table/sys_audit?{query_params}"

        try:
            response = http.request('GET', url, headers=headers)

            if response.status == 200:
                data = json.loads(response.data.decode('utf-8'))
                chunk = data.get('result', [])
                results.extend(chunk)

                # Stop if we got fewer records than PAGE_SIZE (last page)
                if len(chunk) < PAGE_SIZE:
                    break

                # Move to next page
                offset += PAGE_SIZE
            else:
                print(f"Error querying ServiceNow API: {response.status} - {response.data.decode('utf-8')}")
                break
        except Exception as e:
            print(f"Exception querying ServiceNow API: {str(e)}")
            break

    return results

def main():
    # Get last run timestamp
    last_run_timestamp = get_last_run_timestamp()

    # Current timestamp for this run
    current_timestamp = datetime.datetime.now().isoformat()

    # Query ServiceNow API for audit logs
    audit_logs = get_audit_logs(last_run_timestamp)

    if audit_logs:
        # Send each log to syslog
        for log in audit_logs:
            # Format the log as JSON
            log_json = json.dumps(log)

            # Send to syslog
            send_to_syslog(log_json)

            # Sleep briefly to avoid flooding
            time.sleep(0.01)

        # Update state file
        update_state_file(current_timestamp)

        print(f"Successfully forwarded {len(audit_logs)} audit logs to syslog")
    else:
        print("No new audit logs to forward")

if __name__ == "__main__":
    main()

예약된 실행 설정 (Linux)

스크립트를 실행 가능하게 만듭니다.
```
chmod +x servicenow_audit_to_syslog.py
```
매시간 스크립트를 실행하는 크론 작업을 만듭니다.
```
crontab -e
```

다음 줄을 추가합니다.

0 * * * * /usr/bin/python3 /path/to/servicenow_audit_to_syslog.py >> /tmp/servicenow_audit_to_syslog.log 2>&1

PowerShell 스크립트 예시 (Windows)

다음 콘텐츠로 ServiceNow-Audit-To-Syslog.ps1이라는 파일을 만듭니다.

# ServiceNow API details
$BaseUrl = 'https://instance.service-now.com'  # Replace with your ServiceNow instance URL
$Username = 'admin'  # Replace with your ServiceNow username
$Password = 'password'  # Replace with your ServiceNow password

# Syslog details
$SyslogServer = '127.0.0.1'  # Replace with your Bindplane agent IP
$SyslogPort = 514  # Replace with your Bindplane agent port

# State file to keep track of last run
$StateFile = "$env:TEMP\ServiceNowAuditLastRun.txt"

# Pagination settings
$PageSize = 1000
$MaxPages = 1000

function Get-LastRunTimestamp {
    try {
        if (Test-Path $StateFile) {
            return Get-Content $StateFile
        }
        else {
            return '1970-01-01T00:00:00'
        }
    }
    catch {
        return '1970-01-01T00:00:00'
    }
}

function Update-StateFile {
    param (
        [string]$Timestamp
    )

    Set-Content -Path $StateFile -Value $Timestamp
}

function Send-ToSyslog {
    param (
        [string]$Message
    )

    $UdpClient = New-Object System.Net.Sockets.UdpClient
    $UdpClient.Connect($SyslogServer, $SyslogPort)

    $Encoding = [System.Text.Encoding]::ASCII
    $Bytes = $Encoding.GetBytes($Message)

    $UdpClient.Send($Bytes, $Bytes.Length)
    $UdpClient.Close()
}

function Get-AuditLogs {
    param (
        [string]$LastRunTimestamp
    )

    # Create auth header
    $Auth = [System.Convert]::ToBase64String([System.Text.Encoding]::ASCII.GetBytes("${Username}:${Password}"))

    $Headers = @{
        Authorization = "Basic ${Auth}"
        Accept = 'application/json'
    }

    $Results = @()
    $Offset = 0

    for ($page = 0; $page -lt $MaxPages; $page++) {
        # Build query with pagination
        # Use sys_created_on (not created_on) for timestamp filtering
        $QueryParams = "sysparm_query=sys_created_onAFTER${LastRunTimestamp}&sysparm_display_value=true&sysparm_limit=${PageSize}&sysparm_offset=${Offset}"

        $Url = "${BaseUrl}/api/now/table/sys_audit?${QueryParams}"

        try {
            $Response = Invoke-RestMethod -Uri $Url -Headers $Headers -Method Get
            $Chunk = $Response.result

            $Results += $Chunk

            # Stop if we got fewer records than PageSize (last page)
            if ($Chunk.Count -lt $PageSize) {
                break
            }

            # Move to next page
            $Offset += $PageSize
        }
        catch {
            Write-Error "Error querying ServiceNow API: $_"
            break
        }
    }

    return $Results
}

# Main execution
$LastRunTimestamp = Get-LastRunTimestamp
$CurrentTimestamp = (Get-Date).ToString('yyyy-MM-ddTHH:mm:ss')

$AuditLogs = Get-AuditLogs -LastRunTimestamp $LastRunTimestamp

if ($AuditLogs -and $AuditLogs.Count -gt 0) {
    # Send each log to syslog
    foreach ($Log in $AuditLogs) {
        # Format the log as JSON
        $LogJson = $Log | ConvertTo-Json -Compress

        # Send to syslog
        Send-ToSyslog -Message $LogJson

        # Sleep briefly to avoid flooding
        Start-Sleep -Milliseconds 10
    }

    # Update state file
    Update-StateFile -Timestamp $CurrentTimestamp

    Write-Output "Successfully forwarded $($AuditLogs.Count) audit logs to syslog"
}
else {
    Write-Output "No new audit logs to forward"
}

예약된 실행 설정 (Windows)

Task Scheduler(작업 스케줄러)를 엽니다.
태스크 만들기를 클릭합니다.
다음 구성을 제공합니다.
- 이름: ServiceNowAuditToSyslog
- 보안 옵션: 사용자가 로그인했는지 여부와 관계없이 실행
트리거 탭으로 이동합니다.
새로 만들기를 클릭하고 매시간 실행되도록 설정합니다.
작업 탭으로 이동합니다.
새로 만들기를 클릭하고 다음을 설정합니다.
- 작업: 프로그램 시작
- 프로그램/스크립트: powershell.exe
- 인수: -ExecutionPolicy Bypass -File "C:\path\to\ServiceNow-Audit-To-Syslog.ps1"
확인을 클릭하여 작업을 저장합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.