Sådan hjælper Defender for Cloud Apps med at beskytte dit ServiceNow-miljø
Som en stor CRM-cloududbyder inkorporerer ServiceNow store mængder følsomme oplysninger om kunder, interne processer, hændelser og rapporter i din organisation. ServiceNow er en forretningskritisk app og bruges af personer i din organisation og andre uden for organisationen (f.eks. partnere og entreprenører) til forskellige formål. I mange tilfælde er en stor del af de brugere, der tilgår ServiceNow, meget lidt opmærksomme på sikkerheden og kan risikere at bringe dine følsomme oplysninger i fare ved utilsigtet at dele dem. I andre tilfælde kan ondsindede aktører få adgang til dine mest følsomme kunderelaterede aktiver.
Hvis du opretter forbindelse mellem ServiceNow og Defender for Cloud Apps får du bedre indsigt i dine brugeres aktiviteter, trusselsregistrering ved hjælp af registreringer af uregelmæssigheder baseret på maskinel indlæring og registreringer af beskyttelse af oplysninger, f.eks. identificering af, hvornår følsomme kundeoplysninger uploades til ServiceNow-cloudmiljøet.
Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.
Vigtigste trusler
- Kompromitterede konti og insidertrusler
- Datalækage
- Utilstrækkelig sikkerhedsbevidsthed
- Ikke-administreret BYOD (Bring Your Own Device)
Sådan hjælper Defender for Cloud Apps med at beskytte dit miljø
- Registrer skytrusler, kompromitterede konti og ondsindede insidere
- Opdag, klassificer, mærk og beskyt regulerede og følsomme data, der er gemt i cloudmiljøet
- Gennemtving DLP- og overholdelsespolitikker for data, der er gemt i cloudmiljøet
- Begræns eksponering af delte data, og gennemtving samarbejdspolitikker
- Brug revisionssporet for aktiviteter i forbindelse med retsmedicinske undersøgelser
Administration af SaaS-sikkerhedsholdning
Opret forbindelse til ServiceNow for automatisk at få sikkerhedsanbefalinger til ServiceNow i Microsoft Secure Score.
I Secure Score skal du vælge Anbefalede handlinger og filtrere efter Product = ServiceNow. Anbefalinger til ServiceNow omfatter f.eks.:
- Aktivér MFA
- Aktivér plug-in'en med eksplicit rolle
- Aktivér plug-in med høj sikkerhed
- Aktivér godkendelse af scriptanmodning
Du kan finde flere oplysninger under:
Kontrollér ServiceNow med indbyggede politikker og politikskabeloner
Du kan bruge følgende indbyggede politikskabeloner til at registrere og give dig besked om potentielle trusler:
Type | Navn |
---|---|
Indbygget politik for registrering af uregelmæssigheder |
Aktivitet fra anonyme IP-adresser Aktivitet fra sjældne lande |
Aktivitet fra mistænkelige IP-adresser Umulig rejse Aktivitet udført af afsluttet bruger (kræver Microsoft Entra ID som IdP) Flere mislykkede logonforsøg Ransomware-registrering Usædvanligt antal fildownloadaktiviteter |
|
Skabelon for aktivitetspolitik | Logon fra en risikabel IP-adresse Massedownload af en enkelt bruger |
Skabelon til filpolitik | Registrer en fil, der er delt med et uautoriseret domæne Registrer en fil, der er delt med personlige mailadresser Registrer filer med PII/PCI/PHI |
Du kan få flere oplysninger om oprettelse af politikker under Opret en politik.
Automatiser styringskontrolelementer
Ud over at overvåge potentielle trusler kan du anvende og automatisere følgende ServiceNow-styringshandlinger for at afhjælpe registrerede trusler:
Type | Handling |
---|---|
Brugerstyring | - Giv brugeren besked ved underretning (via Microsoft Entra ID) - Kræv, at brugeren logger på igen (via Microsoft Entra ID) - Afbryd brugeren (via Microsoft Entra ID) |
Du kan få flere oplysninger om afhjælpning af trusler fra apps under Styring af forbundne apps.
Beskyt ServiceNow i realtid
Gennemse vores bedste praksis for sikring og samarbejde med eksterne brugere og blokering og beskyttelse af download af følsomme data til ikke-administrerede eller risikable enheder.
Forbind ServiceNow med Microsoft Defender for Cloud Apps
Denne artikel indeholder instruktioner i, hvordan du opretter forbindelse Microsoft Defender for Cloud Apps til din eksisterende ServiceNow-konto ved hjælp af API'en til appconnectoren. Denne forbindelse giver dig indsigt i og kontrol over brugen af ServiceNow. Du kan få oplysninger om, hvordan Defender for Cloud Apps beskytter ServiceNow, under Beskyt ServiceNow.
Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.
Forudsætninger
Defender for Cloud Apps understøtter følgende ServiceNow-versioner:
- Eureka
- Fiji
- Geneve
- Helsinki
- Istanbul
- Jakarta
- Kingston
- London
- Utah
- Madrid
- New York
- Orlando
- Paris
- Quebec
- Rom
- San Diego
- Tokyo
- Vancouver
- Washington
- Xanadu
Hvis du vil oprette forbindelse til ServiceNow med Defender for Cloud Apps, skal du have rollen Administration og sikre, at ServiceNow-forekomsten understøtter API-adgang.
Du kan få flere oplysninger i produktdokumentationen til ServiceNow.
Tip
Vi anbefaler, at du installerer ServiceNow ved hjælp af OAuth-apptokens, der er tilgængelige for Fuji og nyere versioner. Du kan få flere oplysninger i den relevante ServiceNow-dokumentation.
I tidligere versioner er en ældre forbindelsestilstand tilgængelig baseret på bruger/adgangskode. Det angivne brugernavn/den angivne adgangskode bruges kun til generering af API-token og gemmes ikke efter den indledende forbindelsesproces.
Sådan opretter du forbindelse mellem ServiceNow og Defender for Cloud Apps ved hjælp af OAuth
Log på med en Administration-konto til din ServiceNow-konto.
Bemærk!
Det angivne brugernavn/den angivne adgangskode bruges kun til generering af API-token og gemmes ikke efter den indledende forbindelsesproces.
På søgelinjen i Filter navigator skal du skrive OAuth og vælge Application Registry.
Vælg Ny på menulinjen Programregistre for at oprette en ny OAuth-profil.
Under Hvilken type OAuth-program? skal du vælge Opret et OAuth API-slutpunkt for eksterne klienter.
Under Application Registries New post skal du udfylde følgende felter:
Navnefelt , navngiv den nye OAuth-profil, f.eks. CloudAppSecurity.
Klient-id'et genereres automatisk. Kopiér dette id. Du skal indsætte det i Defender for Cloud Apps for at oprette forbindelse.
Angiv en streng i feltet Klienthemmelighed . Hvis den efterlades tom, genereres der automatisk en tilfældig hemmelighed. Kopiér og gem den til senere.
Forøg levetiden for Adgangstoken til mindst 3.600.
Vælg Send.
Opdater opdateringstokenets levetid:
Søg efter System OAuth i ruden ServiceNow, og vælg derefter Application Registry.
Vælg navnet på den OAuth, der blev defineret, og ret Opdater tokenlevetid til 7.776.000 sekunder (90 dage).
Vælg Opdater.
Etablere en intern procedure for at sikre, at forbindelsen forbliver i live. Et par dage før den forventede udløb af opdateringstokenlevetiden. Tilbagekald til det gamle opdateringstoken. Vi anbefaler, at du ikke beholder gamle nøgler af sikkerhedsmæssige årsager.
Søg efter System OAuth i ruden ServiceNow, og vælg derefter Administrer tokens.
Vælg det gamle token på listen i henhold til OAuth-navnet og udløbsdatoen.
Vælg Tilbagekald adgang > tilbagekald.
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.
På siden App-connectors skal du vælge +Opret forbindelse til en app og derefter ServiceNow.
I det næste vindue skal du give forbindelsen et navn og vælge Næste.
På siden Angiv detaljer skal du vælge Opret forbindelse ved hjælp af OAuth-token (anbefales).. Vælg Næste.
På siden Grundlæggende oplysninger skal du tilføje dit ServiceNow-bruger-id, din adgangskode og din instans-URL-adresse i de relevante felter. Vælg Næste.
Hvis du vil finde dit ServiceNow-bruger-id, skal du gå til Brugere på ServiceNow-portalen og derefter finde dit navn i tabellen.
På siden OAuth Details skal du angive dit klient-id og din klienthemmelighed. Vælg Næste.
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet.
Når du har oprettet forbindelse til ServiceNow, modtager du hændelser i 1 time før forbindelsen.
Ældre ServiceNow-forbindelse
Hvis du vil forbinde ServiceNow med Defender for Cloud Apps, skal du have tilladelser på administratorniveau og sørge for, at ServiceNow-forekomsten understøtter API-adgang.
Log på med en Administration-konto til din ServiceNow-konto.
Opret en ny tjenestekonto til Defender for Cloud Apps, og tilknyt rollen Administration til den nyoprettede konto.
Kontrollér, at REST API-plug-in'en er slået til.
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.
På siden App-connectors skal du vælge +Opret forbindelse til en app og derefter ServiceNow.
I det næste vindue skal du give forbindelsen et navn og vælge Næste.
På siden Angiv oplysninger skal du vælge Opret kun forbindelse ved hjælp af brugernavn og adgangskode. Vælg Næste.
På siden Grundlæggende oplysninger skal du tilføje dit ServiceNow-bruger-id, din adgangskode og din instans-URL-adresse i de relevante felter. Vælg Næste.
Vælg Opret forbindelse.
Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet. Når du har oprettet forbindelse til ServiceNow, modtager du hændelser i én time før forbindelsen.
Hvis du har problemer med at oprette forbindelse til appen, skal du se Fejlfinding af App Connectors.
Næste trin
Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.