Del via


Sådan hjælper Defender for Cloud Apps med at beskytte dit ServiceNow-miljø

Som en stor CRM-cloududbyder inkorporerer ServiceNow store mængder følsomme oplysninger om kunder, interne processer, hændelser og rapporter i din organisation. ServiceNow er en forretningskritisk app og bruges af personer i din organisation og andre uden for organisationen (f.eks. partnere og entreprenører) til forskellige formål. I mange tilfælde er en stor del af de brugere, der tilgår ServiceNow, meget lidt opmærksomme på sikkerheden og kan risikere at bringe dine følsomme oplysninger i fare ved utilsigtet at dele dem. I andre tilfælde kan ondsindede aktører få adgang til dine mest følsomme kunderelaterede aktiver.

Hvis du opretter forbindelse mellem ServiceNow og Defender for Cloud Apps får du bedre indsigt i dine brugeres aktiviteter, trusselsregistrering ved hjælp af registreringer af uregelmæssigheder baseret på maskinel indlæring og registreringer af beskyttelse af oplysninger, f.eks. identificering af, hvornår følsomme kundeoplysninger uploades til ServiceNow-cloudmiljøet.

Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.

Vigtigste trusler

  • Kompromitterede konti og insidertrusler
  • Datalækage
  • Utilstrækkelig sikkerhedsbevidsthed
  • Ikke-administreret BYOD (Bring Your Own Device)

Sådan hjælper Defender for Cloud Apps med at beskytte dit miljø

Administration af SaaS-sikkerhedsholdning

Opret forbindelse til ServiceNow for automatisk at få sikkerhedsanbefalinger til ServiceNow i Microsoft Secure Score.

I Secure Score skal du vælge Anbefalede handlinger og filtrere efter Product = ServiceNow. Anbefalinger til ServiceNow omfatter f.eks.:

  • Aktivér MFA
  • Aktivér plug-in'en med eksplicit rolle
  • Aktivér plug-in med høj sikkerhed
  • Aktivér godkendelse af scriptanmodning

Du kan finde flere oplysninger under:

Kontrollér ServiceNow med indbyggede politikker og politikskabeloner

Du kan bruge følgende indbyggede politikskabeloner til at registrere og give dig besked om potentielle trusler:

Type Navn
Indbygget politik for registrering af uregelmæssigheder Aktivitet fra anonyme IP-adresser
Aktivitet fra sjældne lande
Aktivitet fra mistænkelige IP-adresser
Umulig rejse
Aktivitet udført af afsluttet bruger (kræver Microsoft Entra ID som IdP)
Flere mislykkede logonforsøg
Ransomware-registrering
Usædvanligt antal fildownloadaktiviteter
Skabelon for aktivitetspolitik Logon fra en risikabel IP-adresse
Massedownload af en enkelt bruger
Skabelon til filpolitik Registrer en fil, der er delt med et uautoriseret domæne
Registrer en fil, der er delt med personlige mailadresser
Registrer filer med PII/PCI/PHI

Du kan få flere oplysninger om oprettelse af politikker under Opret en politik.

Automatiser styringskontrolelementer

Ud over at overvåge potentielle trusler kan du anvende og automatisere følgende ServiceNow-styringshandlinger for at afhjælpe registrerede trusler:

Type Handling
Brugerstyring - Giv brugeren besked ved underretning (via Microsoft Entra ID)
- Kræv, at brugeren logger på igen (via Microsoft Entra ID)
- Afbryd brugeren (via Microsoft Entra ID)

Du kan få flere oplysninger om afhjælpning af trusler fra apps under Styring af forbundne apps.

Beskyt ServiceNow i realtid

Gennemse vores bedste praksis for sikring og samarbejde med eksterne brugere og blokering og beskyttelse af download af følsomme data til ikke-administrerede eller risikable enheder.

Forbind ServiceNow med Microsoft Defender for Cloud Apps

Denne artikel indeholder instruktioner i, hvordan du opretter forbindelse Microsoft Defender for Cloud Apps til din eksisterende ServiceNow-konto ved hjælp af API'en til appconnectoren. Denne forbindelse giver dig indsigt i og kontrol over brugen af ServiceNow. Du kan få oplysninger om, hvordan Defender for Cloud Apps beskytter ServiceNow, under Beskyt ServiceNow.

Brug denne app-connector til at få adgang til SSPM-funktioner (Security Posture Management) via sikkerhedskontroller, der afspejles i Microsoft Secure Score. Få mere at vide.

Forudsætninger

Defender for Cloud Apps understøtter følgende ServiceNow-versioner:

  • Eureka
  • Fiji
  • Geneve
  • Helsinki
  • Istanbul
  • Jakarta
  • Kingston
  • London
  • Utah
  • Madrid
  • New York
  • Orlando
  • Paris
  • Quebec
  • Rom
  • San Diego
  • Tokyo
  • Vancouver
  • Washington
  • Xanadu

Hvis du vil oprette forbindelse til ServiceNow med Defender for Cloud Apps, skal du have rollen Administration og sikre, at ServiceNow-forekomsten understøtter API-adgang.

Du kan få flere oplysninger i produktdokumentationen til ServiceNow.

Tip

Vi anbefaler, at du installerer ServiceNow ved hjælp af OAuth-apptokens, der er tilgængelige for Fuji og nyere versioner. Du kan få flere oplysninger i den relevante ServiceNow-dokumentation.

I tidligere versioner er en ældre forbindelsestilstand tilgængelig baseret på bruger/adgangskode. Det angivne brugernavn/den angivne adgangskode bruges kun til generering af API-token og gemmes ikke efter den indledende forbindelsesproces.

Sådan opretter du forbindelse mellem ServiceNow og Defender for Cloud Apps ved hjælp af OAuth

  1. Log på med en Administration-konto til din ServiceNow-konto.

    Bemærk!

    Det angivne brugernavn/den angivne adgangskode bruges kun til generering af API-token og gemmes ikke efter den indledende forbindelsesproces.

  2. På søgelinjen i Filter navigator skal du skrive OAuth og vælge Application Registry.

  3. Vælg Ny på menulinjen Programregistre for at oprette en ny OAuth-profil.

  4. Under Hvilken type OAuth-program? skal du vælge Opret et OAuth API-slutpunkt for eksterne klienter.

  5. Under Application Registries New post skal du udfylde følgende felter:

    • Navnefelt , navngiv den nye OAuth-profil, f.eks. CloudAppSecurity.

    • Klient-id'et genereres automatisk. Kopiér dette id. Du skal indsætte det i Defender for Cloud Apps for at oprette forbindelse.

    • Angiv en streng i feltet Klienthemmelighed . Hvis den efterlades tom, genereres der automatisk en tilfældig hemmelighed. Kopiér og gem den til senere.

    • Forøg levetiden for Adgangstoken til mindst 3.600.

    • Vælg Send.

  6. Opdater opdateringstokenets levetid:

    1. Søg efter System OAuth i ruden ServiceNow, og vælg derefter Application Registry.

    2. Vælg navnet på den OAuth, der blev defineret, og ret Opdater tokenlevetid til 7.776.000 sekunder (90 dage).

    3. Vælg Opdater.

  7. Etablere en intern procedure for at sikre, at forbindelsen forbliver i live. Et par dage før den forventede udløb af opdateringstokenlevetiden. Tilbagekald til det gamle opdateringstoken. Vi anbefaler, at du ikke beholder gamle nøgler af sikkerhedsmæssige årsager.

    1. Søg efter System OAuth i ruden ServiceNow, og vælg derefter Administrer tokens.

    2. Vælg det gamle token på listen i henhold til OAuth-navnet og udløbsdatoen.

    3. Vælg Tilbagekald adgang > tilbagekald.

  8. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.

  9. På siden App-connectors skal du vælge +Opret forbindelse til en app og derefter ServiceNow.

    connect ServiceNow.

  10. I det næste vindue skal du give forbindelsen et navn og vælge Næste.

  11. På siden Angiv detaljer skal du vælge Opret forbindelse ved hjælp af OAuth-token (anbefales).. Vælg Næste.

  12. På siden Grundlæggende oplysninger skal du tilføje dit ServiceNow-bruger-id, din adgangskode og din instans-URL-adresse i de relevante felter. Vælg Næste.

    Skærmbillede af dialogboksen ServiceNow App Connector Details.

    • Hvis du vil finde dit ServiceNow-bruger-id, skal du gå til Brugere på ServiceNow-portalen og derefter finde dit navn i tabellen.

      ServiceNow-bruger-id.

  13. På siden OAuth Details skal du angive dit klient-id og din klienthemmelighed. Vælg Næste.

  14. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet.

Når du har oprettet forbindelse til ServiceNow, modtager du hændelser i 1 time før forbindelsen.

Ældre ServiceNow-forbindelse

Hvis du vil forbinde ServiceNow med Defender for Cloud Apps, skal du have tilladelser på administratorniveau og sørge for, at ServiceNow-forekomsten understøtter API-adgang.

  1. Log på med en Administration-konto til din ServiceNow-konto.

  2. Opret en ny tjenestekonto til Defender for Cloud Apps, og tilknyt rollen Administration til den nyoprettede konto.

  3. Kontrollér, at REST API-plug-in'en er slået til.

    ServiceNow-konto.

  4. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors.

  5. På siden App-connectors skal du vælge +Opret forbindelse til en app og derefter ServiceNow.

    connect ServiceNow.

  6. I det næste vindue skal du give forbindelsen et navn og vælge Næste.

  7. På siden Angiv oplysninger skal du vælge Opret kun forbindelse ved hjælp af brugernavn og adgangskode. Vælg Næste.

  8. På siden Grundlæggende oplysninger skal du tilføje dit ServiceNow-bruger-id, din adgangskode og din instans-URL-adresse i de relevante felter. Vælg Næste.

    ServiceNow opdater adgangskode.

  9. Vælg Opret forbindelse.

  10. Vælg Indstillinger i Microsoft Defender Portal. Vælg derefter Cloud Apps. Under Forbundne apps skal du vælge App Connectors. Kontrollér, at statussen for den tilsluttede App Connector er Tilsluttet. Når du har oprettet forbindelse til ServiceNow, modtager du hændelser i én time før forbindelsen.

Hvis du har problemer med at oprette forbindelse til appen, skal du se Fejlfinding af App Connectors.

Næste trin

Hvis du støder på problemer, er vi her for at hjælpe. Hvis du vil have hjælp eller support til dit produktproblem, skal du åbne en supportanmodning.