Hoe Defender for Cloud Apps uw ServiceNow-omgeving helpt beschermen

Als belangrijke CRM-cloudprovider neemt ServiceNow grote hoeveelheden gevoelige informatie over klanten, interne processen, incidenten en rapporten in uw organisatie op. ServiceNow is een bedrijfskritieke app en wordt gebruikt door personen binnen uw organisatie en door anderen daarbuiten (zoals partners en contractanten) voor verschillende doeleinden. In veel gevallen is een groot deel van uw gebruikers die ServiceNow openen, zich te weinig bewust van beveiliging en kan dit uw gevoelige informatie in gevaar brengen door deze onbedoeld te delen. In andere gevallen kunnen kwaadwillende actoren toegang krijgen tot uw meest gevoelige klantgerelateerde assets.

Als u ServiceNow verbindt met Defender for Cloud Apps, krijgt u betere inzichten in de activiteiten van uw gebruikers, biedt detectie van bedreigingen met behulp van op machine learning gebaseerde anomaliedetecties en detecties van gegevensbeveiliging, zoals het identificeren wanneer gevoelige klantgegevens worden geüpload naar de ServiceNow-cloud.

Gebruik deze app-connector om toegang te krijgen tot SaaS Security Posture Management (SSPM)-functies, via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Belangrijkste bedreigingen

• Gecompromitteerde accounts en interne bedreigingen
• Gegevenslekken
• Onvoldoende beveiligingsbewustzijn
• Onbeheerd Bring Your Own Device (BYOD)

Hoe Defender for Cloud Apps uw omgeving helpt beschermen

• Cloudbedreigingen, gecompromitteerde accounts en kwaadwillende insiders detecteren
• Ontdek, classificeer, label en bescherm gereguleeerde en vertrouwelijke gegevens die zijn opgeslagen in de cloud
• DLP- en nalevingsbeleid afdwingen voor gegevens die zijn opgeslagen in de cloud
• Blootstelling van gedeelde gegevens beperken en samenwerkingsbeleid afdwingen
• De audittrail van activiteiten gebruiken voor forensisch onderzoek

Beheer van SaaS-beveiligingspostuur

Verbinding maken met ServiceNow om automatisch beveiligingsaanbeveling voor ServiceNow in Microsoft Secure Score op te halen.

Selecteer in Beveiligingsscore Aanbevolen acties en filter op Product = ServiceNow. Aanbevelingen voor ServiceNow zijn bijvoorbeeld:

• MFA inschakelen
• De expliciete rolinvoegtoepassing activeren
• Invoegtoepassing voor hoge beveiliging inschakelen
• Autorisatie van scriptaanvragen inschakelen

Zie voor meer informatie:

• Beveiligingspostuurbeheer voor SaaS-apps
• Microsoft Secure Score

ServiceNow beheren met ingebouwde beleidsregels en beleidssjablonen

U kunt de volgende ingebouwde beleidssjablonen gebruiken om potentiële bedreigingen te detecteren en u hiervan op de hoogte te stellen:

Type	Naam
Ingebouwd beleid voor anomaliedetectie	Activiteit van anonieme IP-adressen Activiteit uit onregelmatig land
Activiteit van verdachte IP-adressen Onmogelijk reizen Activiteit uitgevoerd door beëindigde gebruiker (vereist Microsoft Entra ID als IdP) Meerdere mislukte aanmeldingspogingen Ransomwaredetectie Ongebruikelijke activiteiten voor het downloaden van meerdere bestanden
Sjabloon voor activiteitenbeleid	Aanmelden vanaf een riskant IP-adres Massaal downloaden door één gebruiker
Sjabloon voor bestandsbeleid	Een bestand detecteren dat is gedeeld met een niet-geautoriseerd domein Een bestand detecteren dat is gedeeld met persoonlijke e-mailadressen Bestanden detecteren met PII/PCI/PHI

Zie Een beleid maken voor meer informatie over het maken van beleid.

Beheerbesturingselementen automatiseren

Naast het controleren op mogelijke bedreigingen, kunt u de volgende ServiceNow-governanceacties toepassen en automatiseren om gedetecteerde bedreigingen te herstellen:

Type	Actie
Gebruikersbeheer	- Gebruiker waarschuwen bij waarschuwing (via Microsoft Entra ID) - Vereisen dat de gebruiker zich opnieuw aanmeldt (via Microsoft Entra ID) - Gebruiker onderbreken (via Microsoft Entra ID)

Zie Verbonden apps beheren voor meer informatie over het oplossen van bedreigingen van apps.

ServiceNow in realtime beveiligen

Bekijk onze best practices voor het beveiligen en samenwerken met externe gebruikers en het blokkeren en beveiligen van het downloaden van gevoelige gegevens naar onbeheerde of riskante apparaten.

ServiceNow verbinden met Microsoft Defender for Cloud Apps

Dit artikel bevat instructies voor het verbinden van Microsoft Defender for Cloud Apps met uw bestaande ServiceNow-account met behulp van de app-connector-API. Deze verbinding geeft u inzicht in en controle over het gebruik van ServiceNow. Zie ServiceNow beveiligen voor informatie over hoe Defender for Cloud Apps ServiceNow beveiligt.

Gebruik deze app-connector om toegang te krijgen tot SaaS Security Posture Management (SSPM)-functies, via beveiligingscontroles die worden weergegeven in Microsoft Secure Score. Meer informatie.

Vereisten

Defender for Cloud Apps ondersteunt de volgende ServiceNow-versies:

• Eureka
• Fiji
• Genève
• Helsinki
• Istanboel
• Jakarta
• Kingston
• Londen
• Utah

• Madrid
• New York
• Orlando
• Parijs
• Quebec
• Rome
• San Diego
• Tokio
• Vancouver
• Washington
• Xanadu

Als u ServiceNow wilt verbinden met Defender for Cloud Apps, moet u de rol Beheer hebben en ervoor zorgen dat het ServiceNow-exemplaar API-toegang ondersteunt.

Zie de ServiceNow-productdocumentatie voor meer informatie.

Tip

We raden u aan ServiceNow te implementeren met behulp van OAuth-app-tokens, die beschikbaar zijn voor Fuji en latere releases. Zie de relevante ServiceNow-documentatie voor meer informatie.

Voor eerdere versies is een verouderde verbindingsmodus beschikbaar op basis van gebruiker/wachtwoord. De opgegeven gebruikersnaam/wachtwoord wordt alleen gebruikt voor het genereren van API-token en wordt niet opgeslagen na het eerste verbindingsproces.

ServiceNow verbinden met Defender for Cloud Apps met behulp van OAuth

1. Meld u aan met een Beheer-account bij uw ServiceNow-account.

   Opmerking

   De opgegeven gebruikersnaam/wachtwoord wordt alleen gebruikt voor het genereren van API-token en wordt niet opgeslagen na het eerste verbindingsproces.

2. Typ OAuth in de zoekbalk filternavigator en selecteer Toepassingsregister.

3. Selecteer in de menubalk Toepassingsregistersde optie Nieuw om een nieuw OAuth-profiel te maken.

4. Selecteer onder Welk type OAuth-toepassing?de optie Een OAuth API-eindpunt maken voor externe clients.

5. Vul onder Toepassingsregisters Nieuwe record de volgende velden in:

   • Veld Naam , noem het nieuwe OAuth-profiel, bijvoorbeeld CloudAppSecurity.

   • De client-id wordt automatisch gegenereerd. Kopieer deze id. Plak deze in Defender for Cloud Apps om de verbinding te voltooien.

   • Voer in het veld Clientgeheim een tekenreeks in. Als dit leeg blijft, wordt automatisch een willekeurig geheim gegenereerd. Kopieer en sla het op voor later.

   • Verhoog de levensduur van het toegangstoken tot ten minste 3600.

   • Selecteer Verzenden.

6. De levensduur van het vernieuwingstoken bijwerken:

   1. Zoek in het deelvenster ServiceNow naar System OAuth en selecteer vervolgens Application Registry.

   2. Selecteer de naam van de OAuth die is gedefinieerd en wijzig Levensduur van vernieuwingstoken in 7.776.000 seconden (90 dagen).

   3. Selecteer Bijwerken.

7. Een interne procedure instellen om ervoor te zorgen dat de verbinding in stand blijft. Een paar dagen voor de verwachte vervaldatum van de levensduur van het vernieuwingstoken. Intrekken naar het oude vernieuwingstoken. We raden u om veiligheidsredenen af om oude sleutels te bewaren.

   1. Zoek in het deelvenster ServiceNow naar System OAuth en selecteer vervolgens Tokens beheren.

   2. Selecteer het oude token in de lijst op basis van de OAuth-naam en vervaldatum.

   3. Selecteer Toegang intrekken Intrekken>.

8. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors.

9. Selecteer op de pagina App-connectorsde optie +Verbinding maken met een app en vervolgens ServiceNow.

   

10. Geef in het volgende venster een naam op voor de verbinding en selecteer Volgende.

11. Selecteer op de pagina Details invoerende optie Verbinding maken met behulp van OAuth-token (aanbevolen). Selecteer Volgende.

12. Voeg op de pagina Basisdetails uw ServiceNow-gebruikers-id, wachtwoord en instantie-URL toe in de juiste vakken. Selecteer Volgende.

    

    • Als u uw ServiceNow-gebruikers-id wilt vinden, gaat u in de ServiceNow-portal naar Gebruikers en zoekt u uw naam in de tabel.

      

13. Voer op de pagina OAuth-details uw client-id en clientgeheim in. Selecteer Volgende.

14. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors. Zorg ervoor dat de status van de verbonden App Connector Verbonden is.

Nadat u verbinding hebt gemaakt met ServiceNow, ontvangt u gebeurtenissen gedurende 1 uur voorafgaand aan de verbinding.

Verouderde ServiceNow-verbinding

Als u ServiceNow wilt verbinden met Defender for Cloud Apps, moet u machtigingen op beheerdersniveau hebben en ervoor zorgen dat het ServiceNow-exemplaar API-toegang ondersteunt.

1. Meld u aan met een Beheer-account bij uw ServiceNow-account.

2. Maak een nieuw serviceaccount voor Defender for Cloud Apps en koppel de Beheer rol aan het zojuist gemaakte account.

3. Zorg ervoor dat de REST API-invoegtoepassing is ingeschakeld.

   

4. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors.

5. Selecteer op de pagina App-connectorsde optie +Verbinding maken met een app en vervolgens ServiceNow.

   

6. Geef in het volgende venster een naam op voor de verbinding en selecteer Volgende.

7. Selecteer op de pagina Details invoerende optie Verbinding maken met alleen gebruikersnaam en wachtwoord. Selecteer Volgende.

8. Voeg op de pagina Basisdetails uw ServiceNow-gebruikers-id, wachtwoord en instantie-URL toe in de juiste vakken. Selecteer Volgende.

   

9. Selecteer Verbinding maken.

10. Selecteer instellingen in de Microsoft Defender Portal. Kies vervolgens Cloud-apps. Selecteer onder Verbonden appsde optie App-connectors. Zorg ervoor dat de status van de verbonden App Connector Verbonden is. Nadat u verbinding hebt gemaakt met ServiceNow, ontvangt u gebeurtenissen gedurende één uur voorafgaand aan de verbinding.

Als u problemen ondervindt bij het verbinden van de app, raadpleegt u Problemen met app-connectors oplossen.

Volgende stappen

Cloud-apps beheren met beleid

Als u problemen ondervindt, zijn wij er om u te helpen. Open een ondersteuningsticket om hulp of ondersteuning te krijgen voor uw productprobleem.