Slik bidrar Defender for Cloud Apps til å beskytte ServiceNow-miljøet

Som en stor CRM-skyleverandør inneholder ServiceNow store mengder sensitiv informasjon om kunder, interne prosesser, hendelser og rapporter i organisasjonen. ServiceNow er en forretningskritisk app, og brukes av personer i organisasjonen og av andre utenfor den (for eksempel partnere og leverandører) til ulike formål. I mange tilfeller har en stor andel av brukerne som har tilgang til ServiceNow, liten bevissthet om sikkerhet og kan sette sensitiv informasjon i fare ved utilsiktet å dele den. I andre tilfeller kan ondsinnede aktører få tilgang til de mest sensitive kunderelaterte ressursene dine.

Tilkobling av ServiceNow til Defender for Cloud Apps gir deg forbedret innsikt i brukernes aktiviteter, gir trusselregistrering ved hjelp av maskinlæringsbaserte avviksregistreringer og oppdagelser av informasjonsbeskyttelse, for eksempel identifisering av når sensitiv kundeinformasjon lastes opp til ServiceNow-skyen.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Hovedtrusler

• Kompromitterte kontoer og insider-trusler
• Datalekkasje
• Utilstrekkelig sikkerhetsbevissthet
• Uadministrert ta med din egen enhet (BYOD)

Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt

• Oppdage skytrusler, kompromitterte kontoer og ondsinnede innsidere
• Oppdag, klassifiser, merk og beskytt regulerte og sensitive data som er lagret i skyen
• Fremtving DLP og samsvarspolicyer for data som er lagret i skyen
• Begrens eksponering av delte data og fremtving samarbeidspolicyer
• Bruk revisjonssporet for aktiviteter for rettsmedisinske undersøkelser

SaaS sikkerhet holdning ledelse

Koble Til ServiceNow for automatisk å få sikkerhetsanbefalinger for ServiceNow i Microsoft Secure Score.

Velg Anbefalte handlinger i Sikker poengsum, og filtrer etter Product = ServiceNow. Anbefalinger for ServiceNow inkluderer for eksempel:

• Aktiver MFA
• Aktiver plugin-modulen for eksplisitt rolle
• Aktiver plugin-modul for høy sikkerhet
• Aktiver godkjenning av skriptforespørsel

Hvis du vil ha mer informasjon, kan du se:

• Administrasjon av sikkerhetsstillinger for SaaS-apper
• Microsoft Sikkerhetsvurdering

Kontroller ServiceNow med innebygde policyer og policymaler

Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:

Type:	Navn
Innebygd policy for avviksregistrering	Aktivitet fra anonyme IP-adresser Aktivitet fra sjeldent land
Aktivitet fra mistenkelige IP-adresser Umulig reise Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP) Flere mislykkede påloggingsforsøk Gjenkjenning av løsepengevirus Uvanlige nedlastingsaktiviteter for flere filer
Mal for aktivitetspolicy	Pålogging fra en risikabel IP-adresse Massenedlasting av én enkelt bruker
Mal for filpolicy	Oppdage en fil som er delt med et uautorisert domene Oppdage en fil som er delt med personlige e-postadresser Finn filer med PII/PCI/PHI

Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.

Automatiser styringskontroller

I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende ServiceNow-styringshandlinger for å utbedre oppdagede trusler:

Type:	Handling
Brukerstyring	– Varsle brukeren i beredskap (via Microsoft Entra ID) – Krev at brukeren logger på igjen (via Microsoft Entra ID) - Avbryte bruker (via Microsoft Entra ID)

Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.

Beskytt ServiceNow i sanntid

Se gjennom våre anbefalte fremgangsmåter for å sikre og samarbeide med eksterne brukere og blokkere og beskytte nedlasting av sensitive data til uadministrerte eller risikable enheter.

Koble ServiceNow til Microsoft Defender for Cloud Apps

Denne artikkelen inneholder instruksjoner for hvordan du kobler Microsoft Defender for Cloud Apps til den eksisterende ServiceNow-kontoen ved hjelp av appkoblings-API-en. Denne tilkoblingen gir deg innsyn i og kontroll over bruk av ServiceNow. Hvis du vil ha informasjon om hvordan Defender for Cloud Apps beskytter ServiceNow, kan du se Beskytt ServiceNow.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Forutsetninger

Defender for Cloud Apps støtter følgende ServiceNow-versjoner:

• Eureka
• Fiji
• Genève
• Helsingfors
• Istanbul
• Jakarta
• Kingston
• London
• Utah

• Madrid
• New York
• Orlando
• Paris
• Quebec
• Roma
• San Diego
• Tokyo
• Vancouver
• Washington
• Xanadu

Hvis du vil koble ServiceNow til Defender for Cloud Apps, må du ha Admin rolle og kontrollere at ServiceNow-forekomsten støtter API-tilgang.

Hvis du vil ha mer informasjon, kan du se produktdokumentasjonen for ServiceNow.

Tips

Vi anbefaler at du distribuerer ServiceNow ved hjelp av OAuth-apptokener, tilgjengelig for Fuji og senere versjoner. Hvis du vil ha mer informasjon, kan du se den relevante ServiceNow-dokumentasjonen.

For tidligere versjoner er en eldre tilkoblingsmodus tilgjengelig basert på bruker/passord. Det angitte brukernavnet/passordet brukes bare for generering av API-token og lagres ikke etter den første tilkoblingsprosessen.

Slik kobler du ServiceNow til Defender for Cloud Apps ved hjelp av OAuth

1. Logg på med en Admin konto til ServiceNow-kontoen.

   Obs!

   Det angitte brukernavnet/passordet brukes bare for generering av API-token og lagres ikke etter den første tilkoblingsprosessen.

2. Skriv inn OAuth i søkefeltet for filternavigatoren, og velg Programregister.

3. Velg Ny i menylinjen programregistre for å opprette en ny OAuth-profil.

4. Velg Opprett et OAuth-API-endepunkt for eksterne klienter under Hva slags OAuth-program?.

5. Fyll ut følgende felt under Programregister Ny post :

   • Navnefelt , gi navn til den nye OAuth-profilen, for eksempel CloudAppSecurity.

   • Klient-ID-en genereres automatisk. Kopier denne IDen, du må lime den inn i Defender for Cloud Apps for å fullføre tilkoblingen.

   • Skriv inn en streng i Klienthemmelighet-feltet . Hvis den står tom, genereres en tilfeldig hemmelighet automatisk. Kopier og lagre den til senere.

   • Øk levetiden for tilgangstokenet til minst 3 600.

   • Velg Send.

6. Oppdater levetiden til oppdateringstokenet:

   1. Søk etter System OAuth i ServiceNow-ruten, og velg deretter Programregister.

   2. Velg navnet på OAuth som ble definert, og endre levetiden for oppdateringstoken til 7 776 000 sekunder (90 dager).

   3. Velg Oppdater.

7. Opprett en intern prosedyre for å sikre at tilkoblingen forblir i live. Et par dager før den forventede utløpsdatoen for oppdateringstokenet. Tilbakekall til det gamle oppdateringstokenet. Vi anbefaler ikke å beholde gamle nøkler av sikkerhetsgrunner.

   1. Søk etter System OAuth i ServiceNow-ruten, og velg deretter Behandle tokener.

   2. Velg det gamle tokenet fra listen i henhold til OAuth-navnet og utløpsdatoen.

   3. Velg Opphev tilbakekalling av tilgang>.

8. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.

9. Velg +Koble til en app på appkoblinger-siden, og deretter ServiceNow.

   

10. Gi tilkoblingen et navn i neste vindu, og velg Neste.

11. Velg Koble til ved hjelp av OAuth-token (anbefales) på siden Angi detaljer. Velg Neste.

12. Legg til bruker-ID-en, passordet og forekomstnettadressen for ServiceNow i de aktuelle boksene på siden Grunnleggende detaljer . Velg Neste.

    

    • Hvis du vil finne bruker-ID-en for ServiceNow, går du til Brukere i ServiceNow-portalen, og deretter finner du navnet ditt i tabellen.

      

13. Skriv inn klient-ID-en og klienthemmeligheten på siden OAuth-detaljer. Velg Neste.

14. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.

Når du har koblet til ServiceNow, mottar du hendelser i 1 time før tilkoblingen.

Eldre ServiceNow-tilkobling

Hvis du vil koble ServiceNow til Defender for Cloud Apps, må du ha tillatelser på administratornivå og kontrollere at ServiceNow-forekomsten støtter API-tilgang.

1. Logg på med en Admin konto til ServiceNow-kontoen.

2. Opprett en ny tjenestekonto for Defender for Cloud Apps, og legg ved Admin-rollen i den nylig opprettede kontoen.

3. Kontroller at plugin-modulen for REST-API er slått på.

   

4. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.

5. Velg +Koble til en app på appkoblinger-siden, og deretter ServiceNow.

   

6. Gi tilkoblingen et navn i neste vindu, og velg Neste.

7. Velg Koble til bare ved hjelp av brukernavn og passord på siden Angi detaljer. Velg Neste.

8. Legg til bruker-ID-en, passordet og forekomstnettadressen for ServiceNow i de aktuelle boksene på siden Grunnleggende detaljer . Velg Neste.

   

9. Velg Koble til.

10. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet. Når du har koblet til ServiceNow, mottar du hendelser i én time før tilkoblingen.

Hvis du har problemer med å koble til appen, kan du se Feilsøke appkoblinger.

Neste trinn

Kontroller skyapper med policyer

Hvis det oppstår problemer, er vi her for å hjelpe. Hvis du vil ha hjelp eller støtte for produktproblemet, kan du åpne en støtteforespørsel.