Defender for Cloud Apps如何帮助保护 ServiceNow 环境
作为主要的 CRM 云提供商,ServiceNow 在组织中整合了大量有关客户、内部流程、事件和报告的敏感信息。 作为业务关键型应用,ServiceNow 由组织内部的人员及其外部的其他人访问和使用, (如合作伙伴和承包商等) 用于各种目的。 在许多情况下,访问 ServiceNow 的很大一部分用户对安全意识较低,并且可能会无意间共享敏感信息,从而危及敏感信息。 在其他情况下,恶意参与者可能会获得对最敏感的客户相关资产的访问权限。
将 ServiceNow 连接到Defender for Cloud Apps可让你深入了解用户的活动,使用基于机器学习的异常情况检测提供威胁检测,以及信息保护检测(例如识别敏感客户信息何时上传到 ServiceNow 云)。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
主要威胁
- 泄露的帐户和内部威胁
- 数据泄漏
- 安全意识不足
- 非托管自带设备 (BYOD)
Defender for Cloud Apps如何帮助保护环境
- 检测云威胁、泄露的帐户和恶意预览体验成员
- 发现、分类、标记和保护存储在云中的管控和敏感数据
- 对存储在云中的数据强制实施 DLP 和合规性策略
- 限制共享数据的公开并强制实施协作策略
- 将活动的审核记录用于取证调查
SaaS 安全态势管理
连接 ServiceNow 以在安全评分Microsoft自动获取 ServiceNow 的安全建议。
在“安全功能分数”中,选择“ 建议的操作” 并按 Product = ServiceNow 进行筛选。 例如,ServiceNow 的建议包括:
- 启用 MFA
- 激活显式角色插件
- 启用高安全性插件
- 启用脚本请求授权
有关更多信息,请参阅:
使用内置策略和策略模板控制 ServiceNow
可以使用以下内置策略模板来检测潜在威胁并通知你:
| 类型 | 名称 |
|---|---|
| 内置异常情况检测策略 |
来自匿名 IP 地址的活动 来自不常见国家/地区的活动 |
|
来自可疑 IP 地址的活动 不可能旅行 终止的用户 (执行的活动需要作为 IdP) Microsoft Entra ID 多个失败登录尝试 勒索软件检测 异常的多个文件下载活动 |
|
| 活动策略模板 | 从有风险的 IP 地址登录 单个用户批量下载 |
| 文件策略模板 | 检测与未经授权的域共享的文件 检测与个人电子邮件地址共享的文件 使用 PII/PCI/PHI 检测文件 |
有关创建策略的详细信息,请参阅 创建策略。
自动化治理控制
除了监视潜在威胁外,还可以应用并自动执行以下 ServiceNow 治理操作来修正检测到的威胁:
| 类型 | Action |
|---|---|
| 用户治理 | - 通过Microsoft Entra ID) 在警报 (通知用户 - 要求用户通过Microsoft Entra ID) 重新登录 ( - 通过Microsoft Entra ID) 暂停用户 ( |
有关修正来自应用的威胁的详细信息,请参阅 治理连接的应用。
实时保护 ServiceNow
查看我们的最佳做法, 了解如何保护与外部用户协作 , 以及阻止和保护将敏感数据下载到非托管或有风险的设备。
将 ServiceNow 连接到Microsoft Defender for Cloud Apps
本文提供有关使用应用连接器 API 将Microsoft Defender for Cloud Apps连接到现有 ServiceNow 帐户的说明。 此连接使你能够查看和控制 ServiceNow 的使用。 有关Defender for Cloud Apps如何保护 ServiceNow 的信息,请参阅保护 ServiceNow。
使用此应用连接器通过安全分数中反映的安全控制来访问 SaaS 安全态势管理 (SSPM Microsoft) 功能。 了解详细信息。
先决条件
Defender for Cloud Apps支持以下 ServiceNow 版本:
- 尤里卡
- 斐济
- 日内瓦
- 赫尔辛基
- 伊斯坦布尔
- 雅加达
- 金斯敦
- 伦敦
- 犹他州
- 马德里
- 纽约
- 奥兰多
- 巴黎
- 魁北克
- 罗马
- San Diego
- 东京
- 温哥华
- 华盛顿州
- 世外桃源
若要将 ServiceNow 与 Defender for Cloud Apps 连接,必须具有 管理员 角色,并确保 ServiceNow 实例支持 API 访问。
有关详细信息,请参阅 ServiceNow 产品文档。
提示
建议使用适用于 Fuji 和更高版本的 OAuth 应用令牌部署 ServiceNow。 有关详细信息,请参阅相关的 ServiceNow 文档。
对于早期版本,旧 版连接模式 基于用户/密码可用。 提供的用户名/密码仅用于生成 API 令牌,不会在初始连接过程后保存。
如何使用 OAuth 将 ServiceNow 连接到Defender for Cloud Apps
使用 管理员 帐户登录到 ServiceNow 帐户。
注意
提供的用户名/密码仅用于生成 API 令牌,不会在初始连接过程后保存。
在 “筛选器导航器 ”搜索栏中,键入 “OAuth” ,然后选择“ 应用程序注册表”。
在 “应用程序注册表” 菜单栏中,选择“ 新建 ”以创建新的 OAuth 配置文件。
在“ OAuth 应用程序的类型?”下,选择“ 为外部客户端创建 OAuth API 终结点”。
在 “应用程序注册表”“新建记录 ”下填写以下字段:
名称 字段,将新的 OAuth 配置文件命名为 ,例如 CloudAppSecurity。
客户端 ID 是自动生成的。 复制此 ID,需要将其粘贴到Defender for Cloud Apps才能完成连接。
在 “客户端密码” 字段中,输入一个字符串。 如果留空,则自动生成随机机密。 复制并保存它以供以后使用。
将 访问令牌生存期 至少延长到 3,600。
选择“提交”。
更新刷新令牌的生命周期:
在 “ServiceNow ”窗格中,搜索 “系统 OAuth”,然后选择“ 应用程序注册表”。
选择定义的 OAuth 的名称,并将 刷新令牌生存期 更改为 7,776,000 秒 (90 天) 。
选择“更新”。
建立内部过程以确保连接保持活动状态。 刷新令牌生命周期预期到期前的几天。 撤销旧刷新令牌。 出于安全原因,不建议保留旧密钥。
在“ServiceNow”窗格中,搜索 “系统 OAuth”,然后选择“ 管理令牌”。
根据 OAuth 名称和到期日期从列表中选择旧令牌。
选择“ 撤销访问权限 > 撤销”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,依次选择“ +连接应用”、“ ServiceNow”。
在下一个窗口中,为连接指定一个名称,然后选择“ 下一步”。
在 “输入详细信息 ”页中,选择“ 使用 OAuth 令牌进行连接 (建议) 。 选择 下一步。
在 “基本详细信息” 页中,在相应的框中添加 ServiceNow 用户 ID、密码和实例 URL。 选择 下一步。
若要查找 ServiceNow 用户 ID,请在 ServiceNow 门户中转到 “用户” ,然后在表中找到你的姓名。
在 “OAuth 详细信息 ”页中,输入 “客户端 ID” 和 “客户端密码”。 选择 下一步。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。
连接 ServiceNow 后,你将在连接前 1 小时收到事件。
旧版 ServiceNow 连接
若要将 ServiceNow 与 Defender for Cloud Apps 连接,必须具有管理员级权限,并确保 ServiceNow 实例支持 API 访问。
使用 管理员 帐户登录到 ServiceNow 帐户。
为Defender for Cloud Apps创建新的服务帐户,并将管理员角色附加到新创建的帐户。
确保 REST API 插件已打开。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。
在 “应用连接器 ”页中,依次选择“ +连接应用”、“ ServiceNow”。
在下一个窗口中,为连接指定一个名称,然后选择“ 下一步”。
在 “输入详细信息 ”页中,选择“ 仅使用用户名和密码进行连接”。 选择 下一步。
在 “基本详细信息” 页中,在相应的框中添加 ServiceNow 用户 ID、密码和实例 URL。 选择 下一步。
选择“连接”。
在Microsoft Defender门户中,选择“设置”。 然后选择“ 云应用”。 在 “连接的应用”下,选择“ 应用连接器”。 确保已连接应用连接器的状态为 “已连接”。 连接 ServiceNow 后,你将在连接前一小时收到事件。
如果连接应用时遇到任何问题,请参阅 应用连接器故障排除。
后续步骤
如果你遇到任何问题,我们随时为你提供帮助。 若要获取有关产品问题的帮助或支持,请 开具支持票证。