다음을 통해 공유

Defender for Cloud Apps ServiceNow 환경을 보호하는 방법

  • 아티클

주요 CRM 클라우드 공급자인 ServiceNow는 고객, 내부 프로세스, 인시던트 및 보고서에 대한 많은 양의 중요한 정보를 organization 내에 통합합니다. 중요 비즈니스용 앱인 ServiceNow는 다양한 목적을 위해 organization 내부 사용자와 외부의 다른 사용자(예: 파트너 및 계약자)가 액세스하고 사용합니다. 대부분의 경우 ServiceNow에 액세스하는 사용자의 상당수가 보안에 대한 인식이 낮으며 의도치 않게 공유하여 중요한 정보를 위험에 빠뜨릴 수 있습니다. 다른 경우에는 악의적인 행위자가 가장 중요한 고객 관련 자산에 액세스할 수 있습니다.

ServiceNow를 Defender for Cloud Apps 연결하면 사용자의 활동에 대한 향상된 인사이트를 제공하고, 기계 학습 기반 변칙 검색을 사용하여 위협 탐지를 제공하며, 중요한 고객 정보가 ServiceNow 클라우드에 업로드되는 시기를 식별하는 등의 정보 보호 검색을 제공합니다.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

주요 위협

  • 손상된 계정 및 내부자 위협
  • 데이터 유출
  • 보안 인식 부족
  • 관리되지 않는 사용자 고유의 디바이스 가져오기(BYOD)

Defender for Cloud Apps 환경 보호에 도움이 되는 방법

SaaS 보안 태세 관리

ServiceNow를 연결 하여 Microsoft 보안 점수에서 ServiceNow에 대한 보안 권장 사항을 자동으로 가져옵니다.

보안 점수에서 권장 작업을 선택하고 Product = ServiceNow별로 필터링합니다. 예를 들어 ServiceNow에 대한 권장 사항은 다음과 같습니다.

  • MFA 사용
  • 명시적 역할 플러그 인 활성화
  • 높은 보안 플러그 인 사용
  • 스크립트 요청 권한 부여 사용

자세한 내용은 다음 항목을 참조하세요.

기본 제공 정책 및 정책 템플릿을 사용하여 ServiceNow 제어

다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.

유형 이름
기본 제공 변칙 검색 정책 익명 IP 주소에서의 활동
의외의 국가에서의 활동
의심스러운 IP 주소의 활동
불가능한 이동
종료된 사용자가 수행하는 작업(IdP로 Microsoft Entra ID 필요)
여러 번 실패한 로그인 시도
랜섬웨어 검색
비정상적인 여러 파일 다운로드 활동
활동 정책 템플릿 위험한 IP 주소에서 로그온
단일 사용자가 대량 다운로드
파일 정책 템플릿 권한이 없는 도메인과 공유된 파일 검색
개인 전자 메일 주소와 공유된 파일 검색
PII/PCI/PHI 사용하여 파일 검색

정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.

거버넌스 제어 자동화

잠재적 위협에 대한 모니터링 외에도 다음 ServiceNow 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.

유형 작업
사용자 거버넌스 - 사용자에게 경고 알림(Microsoft Entra ID 통해)
- 사용자가 다시 로그인하도록 요구(Microsoft Entra ID 통해)
- 사용자 일시 중단(Microsoft Entra ID 통해)

앱의 위협 수정에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.

ServiceNow를 실시간으로 보호

외부 사용자와의 보안 및 공동 작업 및관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드를 차단 및 보호하기 위한 모범 사례를 검토합니다.

ServiceNow를 Microsoft Defender for Cloud Apps 연결

이 문서에서는 앱 커넥터 API를 사용하여 기존 ServiceNow 계정에 Microsoft Defender for Cloud Apps 연결하기 위한 지침을 제공합니다. 이 연결을 통해 ServiceNow 사용에 대한 가시성과 제어를 제공합니다. Defender for Cloud Apps ServiceNow를 보호하는 방법에 대한 자세한 내용은 ServiceNow 보호를 참조하세요.

이 앱 커넥터를 사용하여 Microsoft 보안 점수에 반영된 보안 컨트롤을 통해 SaaS SSPM(보안 태세 관리) 기능에 액세스합니다. 자세히 알아보기.

필수 구성 요소

Defender for Cloud Apps 다음 ServiceNow 버전을 지원합니다.

  • 유레카
  • 피지
  • 제네바
  • 헬싱키
  • 이스탄불
  • 자카르타
  • 킹스턴
  • 런던
  • 유타
  • 마드리드
  • 뉴욕
  • 올랜도
  • 파리
  • 퀘벡
  • 로마
  • San Diego
  • 도쿄
  • 밴쿠버
  • 워싱턴
  • 자나두 주

ServiceNow를 Defender for Cloud Apps 연결하려면 관리 역할이 있어야 하며 ServiceNow instance API 액세스를 지원하는지 확인해야 합니다.

자세한 내용은 ServiceNow 제품 설명서를 참조하세요.

후지 및 이후 릴리스에서 사용할 수 있는 OAuth 앱 토큰을 사용하여 ServiceNow를 배포하는 것이 좋습니다. 자세한 내용은 관련 ServiceNow 설명서를 참조하세요.

이전 릴리스의 경우 사용자/암호를 기반으로 레거시 연결 모드 를 사용할 수 있습니다. 제공된 사용자 이름/암호는 API 토큰 생성에만 사용되며 초기 연결 프로세스 후에 저장되지 않습니다.

OAuth를 사용하여 ServiceNow를 Defender for Cloud Apps 연결하는 방법

  1. 관리 계정으로 ServiceNow 계정에 로그인합니다.

    참고

    제공된 사용자 이름/암호는 API 토큰 생성에만 사용되며 초기 연결 프로세스 후에 저장되지 않습니다.

  2. 필터 탐색기 검색 창에서 OAuth를 입력하고 애플리케이션 레지스트리를 선택합니다.

  3. 애플리케이션 레지스트리 메뉴 모음에서 새로 만들기를 선택하여 새 OAuth 프로필을 만듭니다.

  4. 어떤 종류의 OAuth 애플리케이션?에서 외부 클라이언트에 대한 OAuth API 엔드포인트 만들기를 선택합니다.

  5. 애플리케이션 레지스트리에서 새 레코드는 다음 필드를 채웁니다.

    • 이름 필드, 새 OAuth 프로필의 이름을 지정합니다(예: CloudAppSecurity).

    • 클라이언트 ID가 자동으로 생성됩니다. 이 ID를 복사합니다. 연결을 완료하려면 Defender for Cloud Apps 붙여넣어야 합니다.

    • 클라이언트 암호 필드에 문자열을 입력합니다. 비워 두면 임의의 비밀이 자동으로 생성됩니다. 나중에 복사하여 저장합니다.

    • 액세스 토큰 수명을 최소 3,600으로 늘입니다.

    • 전송을 선택합니다.

  6. 새로 고침 토큰의 수명을 업데이트합니다.

    1. ServiceNow 창에서 시스템 OAuth를 검색한 다음, 애플리케이션 레지스트리를 선택합니다.

    2. 정의된 OAuth의 이름을 선택하고 새로 고침 토큰 수명을7,776,000초 (90일)로 변경합니다.

    3. 업데이트를 선택합니다.

  7. 연결이 활성 상태로 유지되도록 내부 절차를 설정합니다. 새로 고침 토큰 수명이 만료되기 며칠 전입니다. 이전 새로 고침 토큰으로 해지합니다. 보안상의 이유로 이전 키를 유지하지 않는 것이 좋습니다.

    1. ServiceNow 창에서 시스템 OAuth를 검색한 다음 , 토큰 관리를 선택합니다.

    2. OAuth 이름 및 만료 날짜에 따라 목록에서 이전 토큰을 선택합니다.

    3. 액세스 > 해지 취소를 선택합니다.

  8. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다.

  9. 앱 커넥터 페이지에서 +앱 연결을 선택한 다음 ServiceNow를 선택합니다.

    ServiceNow를 연결합니다.

  10. 다음 창에서 연결에 이름을 지정하고 다음을 선택합니다.

  11. 세부 정보 입력 페이지에서 OAuth 토큰을 사용하여 연결을 선택합니다(권장). 다음을 선택합니다.

  12. 기본 세부 정보 페이지에서 적절한 상자에 ServiceNow 사용자 ID, 암호 및 instance URL을 추가합니다. 다음을 선택합니다.

    ServiceNow 앱 커넥터 세부 정보 대화 상자의 스크린샷.

    • ServiceNow 사용자 ID를 찾으려면 ServiceNow 포털에서 사용자 로 이동한 다음 테이블에서 이름을 찾습니다.

      ServiceNow 사용자 ID입니다.

  13. OAuth 세부 정보 페이지에서 클라이언트 ID클라이언트 암호를 입력합니다. 다음을 선택합니다.

  14. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태 연결되었는지 확인합니다.

ServiceNow를 연결하면 연결 전 1시간 동안 이벤트를 받게 됩니다.

레거시 ServiceNow 연결

ServiceNow를 Defender for Cloud Apps 연결하려면 관리자 수준 권한이 있어야 하며 ServiceNow instance API 액세스를 지원하는지 확인해야 합니다.

  1. 관리 계정으로 ServiceNow 계정에 로그인합니다.

  2. Defender for Cloud Apps 대한 새 서비스 계정을 만들고 새로 만든 계정에 관리 역할을 연결합니다.

  3. REST API 플러그 인이 켜져 있는지 확인합니다.

    ServiceNow 계정.

  4. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다.

  5. 앱 커넥터 페이지에서 +앱 연결을 선택한 다음 ServiceNow를 선택합니다.

    ServiceNow를 연결합니다.

  6. 다음 창에서 연결에 이름을 지정하고 다음을 선택합니다.

  7. 세부 정보 입력 페이지에서 사용자 이름 및 암호만 사용하여 연결을 선택합니다. 다음을 선택합니다.

  8. 기본 세부 정보 페이지에서 적절한 상자에 ServiceNow 사용자 ID, 암호 및 instance URL을 추가합니다. 다음을 선택합니다.

    ServiceNow는 암호를 업데이트합니다.

  9. 연결을 선택합니다.

  10. Microsoft Defender 포털에서 설정을 선택합니다. 그런 다음 , Cloud Apps를 선택합니다. 연결된 앱에서 앱 커넥터를 선택합니다. 연결된 App Connector의 상태 연결되었는지 확인합니다. ServiceNow를 연결하면 연결하기 전에 1시간 동안 이벤트를 받게 됩니다.

앱 연결에 문제가 있는 경우 앱 커넥터 문제 해결을 참조하세요.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.