Как Defender for Cloud Apps помогает защитить среду ServiceNow

Как крупный поставщик облачных решений CRM, ServiceNow включает в себя большие объемы конфиденциальной информации о клиентах, внутренних процессах, инцидентах и отчетах внутри организации. Будучи критически важным для бизнеса приложением, ServiceNow получает доступ и используется сотрудниками вашей организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях значительная часть пользователей, обращаюющихся к ServiceNow, плохо осведомлены о безопасности и могут поставить под угрозу конфиденциальную информацию, непреднамеренно поделившись ею. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентами.

Подключение ServiceNow к Defender for Cloud Apps дает вам улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения, а также обнаружения защиты информации, такие как выявление случаев передачи конфиденциальной информации о клиентах в облако ServiceNow.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

• Скомпрометированные учетные записи и внутренние угрозы
• Утечка данных
• Недостаточная осведомленность о безопасности
• Неуправляемый перенос собственного устройства (BYOD)

Как Defender for Cloud Apps помогает защитить среду

• Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
• Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
• Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
• Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
• Использование журнала аудита действий для криминалистических исследований

Управление состоянием безопасности SaaS

Подключите ServiceNow , чтобы автоматически получать рекомендации по безопасности для ServiceNow в Microsoft Secure Score.

В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по Product = ServiceNow. Например, рекомендации для ServiceNow:

• Включение MFA
• Активация подключаемого модуля явной роли
• Включение подключаемого модуля с высоким уровнем безопасности
• Включение авторизации запроса скрипта

Дополнительные сведения см. в разделе:

• Управление состоянием безопасности для приложений SaaS
• Оценка безопасности (Майкрософт)

Управление ServiceNow с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Тип	Имя
Встроенная политика обнаружения аномалий	Действия с анонимных IP-адресов. Действия из редкой страны
Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Многократные неудачные попытки входа. Обнаружение программ-шантажистов Необычные действия по скачиванию нескольких файлов
Шаблон политики действий	Вход с опасного IP-адреса Массовое скачивание одним пользователем
Шаблон политики файлов	Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты Обнаружение файлов с помощью PII,PCI/ФИ

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению ServiceNow для устранения обнаруженных угроз:

Тип	Действие
Управление пользователями	— уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID)

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита ServiceNow в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение ServiceNow к Microsoft Defender for Cloud Apps

В этой статье содержатся инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи ServiceNow с помощью API соединителя приложений. Это подключение обеспечивает видимость использования ServiceNow и контроль над ней. Сведения о том, как Defender for Cloud Apps защищает ServiceNow, см. в разделе Защита ServiceNow.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Предварительные условия

Defender for Cloud Apps поддерживает следующие версии ServiceNow:

• Эврика
• Фиджи
• Женева
• Хельсинки
• Стамбул
• Джакарта
• Кингстон
• Лондон
• Юта

• Мадрид
• Нью-Йорк
• Орландо
• Париж
• Квебек
• Рим
• Сан-Диего
• Токио
• Ванкувер
• Вашингтон
• Xanadu

Чтобы подключить ServiceNow к Defender for Cloud Apps, необходимо иметь роль Администратор и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

Дополнительные сведения см. в документации по продукту ServiceNow.

Совет

Мы рекомендуем развернуть ServiceNow с помощью маркеров приложения OAuth, доступных для Fuji и более поздних выпусков. Дополнительные сведения см. в соответствующей документации serviceNow.

В более ранних выпусках доступен устаревший режим подключения на основе пользователя или пароля. Указанные имя пользователя и пароль используются только для создания маркера API и не сохраняются после первоначального процесса подключения.

Подключение ServiceNow к Defender for Cloud Apps с помощью OAuth

1. Войдите с помощью учетной записи Администратор в учетную запись ServiceNow.

   Примечание.

   Указанные имя пользователя и пароль используются только для создания маркера API и не сохраняются после первоначального процесса подключения.

2. В строке поиска Фильтр навигатора введите OAuth и выберите Реестр приложений.

3. В строке меню Реестры приложений выберите Создать , чтобы создать профиль OAuth.

4. В разделе Какое приложение OAuth? выберите Создать конечную точку API OAuth для внешних клиентов.

5. В разделе Реестры приложений Новая запись заполните следующие поля:

   • Поле "Имя ", присвойте имя новому профилю OAuth, например CloudAppSecurity.

   • Идентификатор клиента создается автоматически. Скопируйте этот идентификатор, чтобы завершить подключение, вставьте его в Defender for Cloud Apps.

   • В поле Секрет клиента введите строку. Если оставить пустым, случайный секрет создается автоматически. Скопируйте и сохраните его для последующего использования.

   • Увеличьте срок жизни маркера доступа до по крайней мере 3600.

   • Выберите Отправить.

6. Обновите срок действия маркера обновления:

   1. На панели ServiceNow найдитеSystem OAuth и выберите Реестр приложений.

   2. Выберите имя определенного OAuth и измените срок действия маркера обновления на 7 776 000 секунд (90 дней).

   3. Нажмите кнопку Обновить.

7. Установите внутреннюю процедуру, чтобы убедиться, что подключение остается активным. За пару дней до ожидаемого истечения срока действия маркера обновления. Отмена на старый маркер обновления. Мы не рекомендуем хранить старые ключи из соображений безопасности.

   1. На панели ServiceNow найдите System OAuth и выберите Управление маркерами.

   2. Выберите старый маркер из списка в соответствии с именем OAuth и датой окончания срока действия.

   3. Выберите Отозвать отзыв доступа>.

8. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

9. На странице Соединители приложений выберите +Подключить приложение, а затем — ServiceNow.

   

10. В следующем окне присвойте соединению имя и нажмите кнопку Далее.

11. На странице Ввод сведений выберите Подключиться с помощью маркера OAuth (рекомендуется). Нажмите кнопку Далее.

12. На странице Основные сведения добавьте идентификатор пользователя, пароль и URL-адрес экземпляра ServiceNow в соответствующие поля. Нажмите кнопку Далее.

    

    • Чтобы найти идентификатор пользователя ServiceNow, на портале ServiceNow перейдите в раздел Пользователи и найдите свое имя в таблице.

      

13. На странице OAuth Details (Сведения oAuth) введите идентификатор клиента и секрет клиента. Нажмите кнопку Далее.

14. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

После подключения ServiceNow вы будете получать события за 1 час до подключения.

Устаревшее подключение ServiceNow

Чтобы подключить ServiceNow к Defender for Cloud Apps, необходимо иметь разрешения уровня администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

1. Войдите с помощью учетной записи Администратор в учетную запись ServiceNow.

2. Создайте новую учетную запись службы для Defender for Cloud Apps и присоедините роль Администратор к созданной учетной записи.

3. Убедитесь, что подключаемый модуль REST API включен.

   

4. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

5. На странице Соединители приложений выберите +Подключить приложение, а затем — ServiceNow.

   

6. В следующем окне присвойте соединению имя и нажмите кнопку Далее.

7. На странице Ввод сведений выберите Подключиться, используя только имя пользователя и пароль. Нажмите кнопку Далее.

8. На странице Основные сведения добавьте идентификатор пользователя, пароль и URL-адрес экземпляра ServiceNow в соответствующие поля. Нажмите кнопку Далее.

   

9. Нажмите Подключиться.

10. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено. После подключения ServiceNow вы будете получать события за один час до подключения.

Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.

Дальнейшие действия

Управление облачными приложениями с помощью политик

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.