Så här skyddar Defender for Cloud Apps din ServiceNow-miljö

Som en stor CRM-molnleverantör innehåller ServiceNow stora mängder känslig information om kunder, interna processer, incidenter och rapporter i din organisation. ServiceNow är en affärskritisk app och används av personer inom din organisation och av andra utanför organisationen (till exempel partners och entreprenörer) för olika ändamål. I många fall har en stor del av dina användare som kommer åt ServiceNow låg medvetenhet om säkerhet och kan utsätta din känsliga information för risker genom att oavsiktligt dela den. I andra fall kan skadliga aktörer få åtkomst till dina mest känsliga kundrelaterade tillgångar.

Genom att ansluta ServiceNow till Defender for Cloud Apps får du bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar och identifieringar av informationsskydd som att identifiera när känslig kundinformation laddas upp till ServiceNow-molnet.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Mer information.

Huvudsakliga hot

• Komprometterade konton och insiderhot
• Dataläckage
• Otillräcklig säkerhetsmedvetenhet
• Ohanterad BYOD (Bring Your Own Device)

Hur Defender for Cloud Apps hjälper till att skydda din miljö

• Identifiera molnhot, komprometterade konton och skadliga insiders
• Upptäck, klassificera, märka och skydda känsliga och reglerade data som lagras i molnet
• Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet
• Begränsa exponeringen av delade data och framtvinga samarbetsprinciper
• Använda spårningsloggen för aktiviteter för kriminaltekniska undersökningar

Hantering av SaaS-säkerhetsstatus

Anslut ServiceNow för att automatiskt få säkerhetsrekommendationer för ServiceNow i Microsoft Secure Score.

I Säkerhetspoäng väljer du Rekommenderade åtgärder och filtrerar efter Product = ServiceNow. Rekommendationer för ServiceNow kan till exempel vara:

• Aktivera MFA
• Aktivera det explicita roll-plugin-programmet
• Aktivera plugin-program med hög säkerhet
• Aktivera auktorisering av skriptbegäran

Mer information finns i:

• Hantering av säkerhetsstatus för SaaS-appar
• Microsoft Secure Score

Kontrollera ServiceNow med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ	Namn
Inbyggd princip för avvikelseidentifiering	Aktivitet från anonyma IP-adresser Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser Omöjlig resa Aktivitet som utförs av avslutad användare (kräver Microsoft Entra ID som IdP) Flera misslyckade inloggningsförsök Identifiering av utpressningstrojaner Ovanliga nedladdningsaktiviteter för flera filer
Mall för aktivitetsprincip	Logga in från en riskabel IP-adress Massnedladdning av en enskild användare
Filprincipmall	Identifiera en fil som delas med en obehörig domän Identifiera en fil som delas med personliga e-postadresser Identifiera filer med PII/PCI/PHI

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande ServiceNow-styrningsåtgärder för att åtgärda identifierade hot:

Typ	Åtgärd
Användarstyrning	– Meddela användaren vid avisering (via Microsoft Entra ID) – Kräv att användaren loggar in igen (via Microsoft Entra ID) – Pausa användare (via Microsoft Entra ID)

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda ServiceNow i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta ServiceNow till Microsoft Defender for Cloud Apps

Den här artikeln innehåller instruktioner för hur du ansluter Microsoft Defender for Cloud Apps till ditt befintliga ServiceNow-konto med hjälp av API:et för appanslutning. Den här anslutningen ger dig insyn i och kontroll över ServiceNow-användning. Information om hur Defender for Cloud Apps skyddar ServiceNow finns i Skydda ServiceNow.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Mer information.

Förhandskrav

Defender for Cloud Apps stöder följande ServiceNow-versioner:

• Eureka
• Fiji
• Genève
• Helsingfors
• Istanbul
• Jakarta
• Kingston
• London
• Utah

• Madrid
• New York
• Orlando
• Paris
• Quebec
• Rom
• San Diego
• Tokyo
• Vancouver
• Washington
• Xanadu

För att kunna ansluta ServiceNow till Defender for Cloud Apps måste du ha rollen Admin och se till att ServiceNow-instansen stöder API-åtkomst.

Mer information finns i produktdokumentationen för ServiceNow.

Tips

Vi rekommenderar att du distribuerar ServiceNow med OAuth-apptoken, som är tillgängliga för Fuji och senare versioner. Mer information finns i relevant ServiceNow-dokumentation.

För tidigare versioner är ett äldre anslutningsläge tillgängligt baserat på användare/lösenord. Det angivna användarnamnet/lösenordet används endast för generering av API-token och sparas inte efter den första anslutningsprocessen.

Ansluta ServiceNow till Defender for Cloud Apps med OAuth

1. Logga in med ett Admin konto till ditt ServiceNow-konto.

   Obs!

   Det angivna användarnamnet/lösenordet används endast för generering av API-token och sparas inte efter den första anslutningsprocessen.

2. I sökfältet Filter navigator skriver du OAuth och väljer Programregister.

3. På menyraden Programregister väljer du Ny för att skapa en ny OAuth-profil.

4. Under Vilken typ av OAuth-program? väljer du Skapa en OAuth API-slutpunkt för externa klienter.

5. Fyll i följande fält under Programregister Ny post :

   • Namnfält , namnge den nya OAuth-profilen, till exempel CloudAppSecurity.

   • Klient-ID genereras automatiskt. Kopiera det här ID:t. Du måste klistra in det i Defender for Cloud Apps för att slutföra anslutningen.

   • I fältet Klienthemlighet anger du en sträng. Om den lämnas tom genereras en slumpmässig hemlighet automatiskt. Kopiera och spara den till senare.

   • Öka livslängden för åtkomsttoken till minst 3 600.

   • Välj Skicka.

6. Uppdatera uppdateringstokens livslängd:

   1. I fönstret ServiceNow söker du efter System OAuth och väljer sedan Programregister.

   2. Välj namnet på den OAuth som definierades och ändra livslängden för uppdateringstoken till 7 776 000 sekunder (90 dagar).

   3. Välj Uppdatera.

7. Upprätta en intern procedur för att säkerställa att anslutningen förblir aktiv. Ett par dagar före den förväntade förfallotiden för uppdateringstokens livslängd. Återkalla till den gamla uppdateringstoken. Vi rekommenderar inte att du behåller gamla nycklar av säkerhetsskäl.

   1. I fönstret ServiceNow söker du efter System OAuth och väljer sedan Hantera token.

   2. Välj den gamla token i listan enligt OAuth-namnet och förfallodatumet.

   3. Välj Återkalla åtkomst > återkalla.

8. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

9. På sidan Appanslutningsprogram väljer du +Anslut en app och sedan ServiceNow.

   

10. I nästa fönster ger du anslutningen ett namn och väljer Nästa.

11. På sidan Ange information väljer du Anslut med OAuth-token (rekommenderas). Välj Nästa.

12. På sidan Grundläggande information lägger du till ditt ServiceNow-användar-ID, lösenord och instans-URL i lämpliga rutor. Välj Nästa.

    

    • Om du vill hitta ditt ServiceNow-användar-ID går du till ServiceNow-portalen, går till Användare och letar upp ditt namn i tabellen.

      

13. På sidan OAuth-information anger du klient-ID och klienthemlighet. Välj Nästa.

14. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningen är Ansluten.

När du har anslutit ServiceNow får du händelser i sju dagar före anslutningen.

Äldre ServiceNow-anslutning

Om du vill ansluta ServiceNow till Defender for Cloud Apps måste du ha behörigheter på administratörsnivå och se till att ServiceNow-instansen stöder API-åtkomst.

1. Logga in med ett Admin konto till ditt ServiceNow-konto.

2. Skapa ett nytt tjänstkonto för Defender for Cloud Apps och koppla Admin-rollen till det nyligen skapade kontot.

3. Kontrollera att REST API-plugin-programmet är aktiverat.

   

4. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

5. På sidan Appanslutningsprogram väljer du +Anslut en app och sedan ServiceNow.

   

6. I nästa fönster ger du anslutningen ett namn och väljer Nästa.

7. På sidan Ange information väljer du Anslut endast med användarnamn och lösenord. Välj Nästa.

8. På sidan Grundläggande information lägger du till ditt ServiceNow-användar-ID, lösenord och instans-URL i lämpliga rutor. Välj Nästa.

   

9. Välj Anslut.

10. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningen är Ansluten. När du har anslutit ServiceNow får du händelser i sju dagar före anslutningen.

Om du har problem med att ansluta appen läser du Felsöka appanslutningsprogram.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill ha hjälp eller support för ditt produktproblem öppnar du ett supportärende.