Jak Defender for Cloud Apps pomaga chronić środowisko usługi ServiceNow

Jako główny dostawca usług w chmurze CRM usługa ServiceNow zawiera duże ilości poufnych informacji o klientach, procesach wewnętrznych, zdarzeniach i raportach w organizacji. Będąc aplikacją o znaczeniu biznesowym, usługa ServiceNow jest dostępna i używana przez osoby w organizacji oraz przez inne osoby spoza niej (takie jak partnerzy i wykonawcy) do różnych celów. W wielu przypadkach duża część użytkowników uzyskujących dostęp do usługi ServiceNow ma niską świadomość zabezpieczeń i może narazić poufne informacje na ryzyko, przypadkowo udostępniając je. W innych przypadkach złośliwi aktorzy mogą uzyskać dostęp do najbardziej wrażliwych zasobów związanych z klientem.

Połączenie usługi ServiceNow z Defender for Cloud Apps zapewnia lepszy wgląd w działania użytkowników, zapewnia wykrywanie zagrożeń przy użyciu wykrywania anomalii opartych na uczeniu maszynowym oraz wykrywanie ochrony informacji, takie jak identyfikowanie, kiedy poufne informacje klienta są przekazywane do chmury usługi ServiceNow.

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji saaS Security Posture Management (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonych w usłudze Microsoft Secure Score. Dowiedz się więcej.

Główne zagrożenia

• Konta z naruszeniem zabezpieczeń i zagrożenia wewnętrzne
• Wyciek danych
• Niewystarczająca świadomość zabezpieczeń
• Niezarządzane przynieś własne urządzenie (BYOD)

Jak Defender for Cloud Apps pomaga chronić środowisko

• Wykrywanie zagrożeń w chmurze, kont z naruszonymi zabezpieczeniami i złośliwych informacji poufnych
• Odnajdywanie, klasyfikowanie, etykietowanie i ochrona danych regulowanych i poufnych przechowywanych w chmurze
• Wymuszanie zasad DLP i zgodności danych przechowywanych w chmurze
• Ograniczanie ekspozycji udostępnionych danych i wymuszanie zasad współpracy
• Korzystanie ze ścieżki inspekcji działań na potrzeby badań kryminalistycznych

Zarządzanie stanem zabezpieczeń SaaS

Połącz usługę ServiceNow, aby automatycznie uzyskać zalecenia dotyczące zabezpieczeń dla usługi ServiceNow w usłudze Microsoft Secure Score.

W obszarze Wskaźnik bezpieczeństwa wybierz pozycję Zalecane akcje i przefiltruj według pozycji Product = ServiceNow. Na przykład zalecenia dotyczące usługi ServiceNow obejmują:

• Włączanie uwierzytelniania wieloskładnikowego
• Aktywowanie wtyczki roli jawnej
• Włączanie wtyczki o wysokim poziomie zabezpieczeń
• Włączanie autoryzacji żądania skryptu

Więcej informacji można znaleźć w następujących artykułach:

• Zarządzanie stanem zabezpieczeń dla aplikacji SaaS
• Wskaźnik bezpieczeństwa Microsoft

Kontrolowanie usługi ServiceNow za pomocą wbudowanych zasad i szablonów zasad

Do wykrywania i powiadamiania o potencjalnych zagrożeniach można użyć następujących wbudowanych szablonów zasad:

Wpisać	Name (Nazwa)
Wbudowane zasady wykrywania anomalii	Działanie z anonimowych adresów IP Aktywność z rzadkiego kraju
Działanie z podejrzanych adresów IP Niemożliwa podróż Działanie wykonywane przez użytkownika zakończone (wymaga Tożsamość Microsoft Entra jako dostawcy tożsamości) Wiele nieudanych prób logowania Wykrywanie oprogramowania wymuszającego okup Nietypowe działania pobierania wielu plików
Szablon zasad działania	Logowanie z ryzykownej adresu IP Pobieranie zbiorcze przez jednego użytkownika
Szablon zasad plików	Wykrywanie pliku udostępnionego nieautoryzowanej domenie Wykrywanie pliku udostępnionego osobistym adresom e-mail Wykrywanie plików przy użyciu interfejsu PII/PCI/PHI

Aby uzyskać więcej informacji na temat tworzenia zasad, zobacz Tworzenie zasad.

Automatyzowanie kontrolek ładu

Oprócz monitorowania potencjalnych zagrożeń można zastosować i zautomatyzować następujące akcje ładu usługi ServiceNow w celu skorygowania wykrytych zagrożeń:

Wpisać	Akcja
Ład użytkowników	— Powiadamianie użytkownika o alertach (za pośrednictwem Tożsamość Microsoft Entra) — Wymagaj od użytkownika ponownego zalogowania się (za pośrednictwem Tożsamość Microsoft Entra) — Wstrzymywanie użytkownika (za pośrednictwem Tożsamość Microsoft Entra)

Aby uzyskać więcej informacji na temat korygowania zagrożeń z aplikacji, zobacz Zarządzanie połączonymi aplikacjami.

Ochrona usługi ServiceNow w czasie rzeczywistym

Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi zabezpieczania i współpracy z użytkownikami zewnętrznymi oraz blokowania i ochrony pobierania poufnych danych na urządzenia niezarządzane lub ryzykowne.

Łączenie usługi ServiceNow z Microsoft Defender for Cloud Apps

Ten artykuł zawiera instrukcje dotyczące nawiązywania połączenia Microsoft Defender for Cloud Apps z istniejącym kontem usługi ServiceNow przy użyciu interfejsu API łącznika aplikacji. To połączenie zapewnia wgląd i kontrolę nad użyciem usługi ServiceNow. Aby uzyskać informacje o tym, jak Defender for Cloud Apps chroni usługę ServiceNow, zobacz Ochrona usługi ServiceNow.

Użyj tego łącznika aplikacji, aby uzyskać dostęp do funkcji saaS Security Posture Management (SSPM) za pośrednictwem mechanizmów kontroli zabezpieczeń odzwierciedlonych w usłudze Microsoft Secure Score. Dowiedz się więcej.

Wymagania wstępne

Defender for Cloud Apps obsługuje następujące wersje usługi ServiceNow:

• Eureka
• Fidżi
• Genewa
• Helsinki
• Stambuł
• Dżakarta
• Kingston
• Londyn
• Utah

• Madryt
• Nowy Jork
• Orlando
• Paryż
• Quebec
• Rzym
• San Diego
• Tokio
• Vancouver
• Waszyngton
• Xanadu

Aby połączyć usługę ServiceNow z Defender for Cloud Apps, musisz mieć rolę Administracja i upewnić się, że wystąpienie usługi ServiceNow obsługuje dostęp do interfejsu API.

Aby uzyskać więcej informacji, zobacz dokumentację produktu ServiceNow.

Porada

Zalecamy wdrożenie usługi ServiceNow przy użyciu tokenów aplikacji OAuth dostępnych dla fuji i nowszych wersji. Aby uzyskać więcej informacji, zobacz odpowiednią dokumentację usługi ServiceNow.

W przypadku wcześniejszych wersji starszy tryb połączenia jest dostępny na podstawie użytkownika/hasła. Podana nazwa użytkownika/hasło są używane tylko do generowania tokenu interfejsu API i nie są zapisywane po początkowym procesie połączenia.

Jak połączyć usługę ServiceNow z Defender for Cloud Apps przy użyciu protokołu OAuth

1. Zaloguj się przy użyciu konta Administracja na koncie usługi ServiceNow.

   Uwaga

   Podana nazwa użytkownika/hasło są używane tylko do generowania tokenu interfejsu API i nie są zapisywane po początkowym procesie połączenia.

2. Na pasku wyszukiwania Nawigator filtru wpisz OAuth i wybierz pozycję Rejestr aplikacji.

3. Na pasku menu Rejestry aplikacji wybierz pozycję Nowy , aby utworzyć nowy profil OAuth.

4. W obszarze Jakiego rodzaju aplikacja OAuth?, wybierz pozycję Utwórz punkt końcowy interfejsu API OAuth dla klientów zewnętrznych.

5. W obszarze Rejestry aplikacji Nowy rekord wypełnij następujące pola:

   • Pole nazwy , nadaj nowemu profilowi OAuth nazwę, na przykład CloudAppSecurity.

   • Identyfikator klienta jest generowany automatycznie. Skopiuj ten identyfikator, musisz wkleić go do Defender for Cloud Apps, aby zakończyć połączenie.

   • W polu Klucz tajny klienta wprowadź ciąg. Jeśli pozostanie pusty, losowy wpis tajny jest generowany automatycznie. Skopiuj i zapisz go na później.

   • Zwiększ długość życia tokenu dostępu do co najmniej 3600.

   • Wybierz pozycję Prześlij.

6. Zaktualizuj długość życia tokenu odświeżania:

   1. W okienku ServiceNow wyszukaj pozycję System OAuth, a następnie wybierz pozycję Rejestr aplikacji.

   2. Wybierz nazwę zdefiniowanego uwierzytelniania OAuth i zmień długość życia tokenu odświeżania na 7 776 000 sekund (90 dni).

   3. Wybierz pozycję Aktualizuj.

7. Ustal procedurę wewnętrzną, aby upewnić się, że połączenie pozostaje aktywne. Na kilka dni przed oczekiwanym wygaśnięciem okresu życia tokenu odświeżania. Odwołaj do starego tokenu odświeżania. Nie zalecamy przechowywania starych kluczy ze względów bezpieczeństwa.

   1. W okienku ServiceNow wyszukaj pozycję System OAuth, a następnie wybierz pozycję Zarządzaj tokenami.

   2. Wybierz stary token z listy zgodnie z nazwą OAuth i datą wygaśnięcia.

   3. Wybierz pozycję Odwołaj odwołanie dostępu>.

8. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.

9. Na stronie Łączniki aplikacji wybierz pozycję +Połącz aplikację, a następnie pozycję ServiceNow.

   

10. W następnym oknie nadaj połączeniu nazwę i wybierz pozycję Dalej.

11. Na stronie Wprowadzanie szczegółów wybierz pozycję Połącz przy użyciu tokenu OAuth (zalecane). Wybierz pozycję Dalej.

12. Na stronie Szczegóły podstawowe dodaj identyfikator użytkownika usługi ServiceNow, hasło i adres URL wystąpienia w odpowiednich polach. Wybierz pozycję Dalej.

    

    • Aby znaleźć identyfikator użytkownika usługi ServiceNow, w portalu UsługiNow przejdź do pozycji Użytkownicy , a następnie znajdź swoją nazwę w tabeli.

      

13. Na stronie Szczegóły uwierzytelniania OAuth wprowadź identyfikator klienta i klucz tajny klienta. Wybierz pozycję Dalej.

14. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączony.

Po nawiązaniu połączenia z usługą ServiceNow otrzymasz zdarzenia na 1 godzinę przed nawiązaniem połączenia.

Starsze połączenie usługi ServiceNow

Aby połączyć usługę ServiceNow z Defender for Cloud Apps, musisz mieć uprawnienia na poziomie administratora i upewnić się, że wystąpienie usługi ServiceNow obsługuje dostęp do interfejsu API.

1. Zaloguj się przy użyciu konta Administracja na koncie usługi ServiceNow.

2. Utwórz nowe konto usługi dla Defender for Cloud Apps i dołącz rolę Administracja do nowo utworzonego konta.

3. Upewnij się, że wtyczka interfejsu API REST jest włączona.

   

4. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji.

5. Na stronie Łączniki aplikacji wybierz pozycję +Połącz aplikację, a następnie pozycję ServiceNow.

   

6. W następnym oknie nadaj połączeniu nazwę i wybierz pozycję Dalej.

7. Na stronie Wprowadź szczegóły wybierz pozycję Połącz tylko przy użyciu nazwy użytkownika i hasła. Wybierz pozycję Dalej.

8. Na stronie Szczegóły podstawowe dodaj identyfikator użytkownika usługi ServiceNow, hasło i adres URL wystąpienia w odpowiednich polach. Wybierz pozycję Dalej.

   

9. Wybierz pozycję Połącz.

10. W portalu Microsoft Defender wybierz pozycję Ustawienia. Następnie wybierz pozycję Cloud Apps. W obszarze Połączone aplikacje wybierz pozycję Łączniki aplikacji. Upewnij się, że stan połączonego łącznika aplikacji to Połączony. Po nawiązaniu połączenia z usługą ServiceNow otrzymasz zdarzenia na godzinę przed nawiązaniem połączenia.

Jeśli masz jakiekolwiek problemy z połączeniem aplikacji, zobacz Rozwiązywanie problemów z łącznikami aplikacji.

Następne kroki

Kontrolowanie aplikacji w chmurze za pomocą zasad

Jeśli napotkasz jakiekolwiek problemy, jesteśmy tutaj, aby pomóc. Aby uzyskać pomoc lub pomoc techniczną dotyczącą problemu z produktem, otwórz bilet pomocy technicznej.