Wie Defender for Cloud Apps Ihre ServiceNow-Umgebung schützt
Als wichtiger CRM-Cloudanbieter integriert ServiceNow große Mengen vertraulicher Informationen zu Kunden, internen Prozessen, Vorfällen und Berichten in Ihre organization. Da es sich um eine unternehmenskritische App handelt, wird ServiceNow von Personen innerhalb Ihres organization und von anderen Personen außerhalb der App (z. B. Partnern und Auftragnehmern) für verschiedene Zwecke verwendet. In vielen Fällen hat ein großer Teil ihrer Benutzer, die auf ServiceNow zugreifen, ein geringes Sicherheitsbewusstsein und kann Ihre vertraulichen Informationen gefährden, indem sie sie unbeabsichtigt freigeben. In anderen Fällen erhalten böswillige Akteure möglicherweise Zugriff auf Ihre empfindlichsten kundenbezogenen Ressourcen.
Wenn Sie ServiceNow mit Defender for Cloud Apps verbinden, erhalten Sie bessere Einblicke in die Aktivitäten Ihrer Benutzer, bietet Bedrohungserkennung mithilfe von Machine Learning-basierten Anomalieerkennungen und Erkennungen von Informationsschutz, z. B. die Identifizierung, wann vertrauliche Kundeninformationen in die ServiceNow-Cloud hochgeladen werden.
Verwenden Sie diesen App-Connector, um auf SSPM-Features (SaaS Security Posture Management) über Sicherheitskontrollen zuzugreifen, die in der Microsoft-Sicherheitsbewertung angegeben sind. Weitere Informationen.
Hauptbedrohungen
- Kompromittierte Konten und Insider-Bedrohungen
- Datenlecks
- Unzureichendes Sicherheitsbewusstsein
- Nicht verwaltetes Bring Your Own Device (BYOD)
Wie Defender for Cloud Apps ihre Umgebung schützt
- Erkennen von Cloudbedrohungen, kompromittierten Konten und böswilligen Insidern
- Ermitteln, Klassifizieren, Bezeichnen und Schützen regulierter und vertraulicher Daten, die in der Cloud gespeichert sind
- Erzwingen von DLP- und Compliancerichtlinien für in der Cloud gespeicherte Daten
- Beschränken der Gefährdung freigegebener Daten und Erzwingen von Richtlinien für die Zusammenarbeit
- Verwenden des Überwachungspfads von Aktivitäten für forensische Untersuchungen
SaaS-Sicherheitsstatusverwaltung
Verbinden Sie ServiceNow , um automatisch Sicherheitsempfehlungen für ServiceNow in der Microsoft-Sicherheitsbewertung zu erhalten.
Wählen Sie unter Sicherheitsbewertung die Option Empfohlene Aktionen aus, und filtern Sie nach Product = ServiceNow. Zu den Empfehlungen für ServiceNow gehören beispielsweise:
- MFA aktivieren
- Aktivieren des expliziten Rollen-Plug-Ins
- Aktivieren des Plug-Ins für hohe Sicherheit
- Aktivieren der Autorisierung von Skriptanforderungen
Weitere Informationen finden Sie unter:
Steuern von ServiceNow mit integrierten Richtlinien und Richtlinienvorlagen
Sie können die folgenden integrierten Richtlinienvorlagen verwenden, um potenzielle Bedrohungen zu erkennen und zu benachrichtigen:
Typ | Name |
---|---|
Integrierte Richtlinie zur Anomalieerkennung |
Aktivität von anonymen IP-Adressen Aktivität aus seltenen Ländern |
Aktivität von verdächtigen IP-Adressen Unmöglicher Ortswechsel Aktivität, die vom beendeten Benutzer ausgeführt wird (erfordert Microsoft Entra ID als IdP) Mehrere fehlgeschlagene Anmeldeversuche Ransomware-Erkennung Ungewöhnliche Aktivitäten zum Herunterladen mehrerer Dateien |
|
Aktivitätsrichtlinienvorlage | Anmeldung von einer riskanten IP-Adresse Massendownload durch einen einzelnen Benutzer |
Dateirichtlinienvorlage | Erkennen einer Datei, die für eine nicht autorisierte Domäne freigegeben wurde Erkennen einer Datei, die mit persönlichen E-Mail-Adressen geteilt wurde Erkennen von Dateien mit PII/PCI/PHI |
Weitere Informationen zum Erstellen von Richtlinien finden Sie unter Erstellen einer Richtlinie.
Automatisieren von Governancekontrollen
Zusätzlich zur Überwachung auf potenzielle Bedrohungen können Sie die folgenden ServiceNow-Governanceaktionen anwenden und automatisieren, um erkannte Bedrohungen zu beheben:
Typ | Aktion |
---|---|
Benutzergovernance | – Benutzer bei Warnung benachrichtigen (über Microsoft Entra ID) – Benutzer muss sich erneut anmelden (über Microsoft Entra ID) – Benutzer anhalten (über Microsoft Entra ID) |
Weitere Informationen zum Beheben von Bedrohungen durch Apps finden Sie unter Steuern verbundener Apps.
Schützen von ServiceNow in Echtzeit
Überprüfen Sie unsere bewährten Methoden zum Schützen und Zusammenarbeiten mit externen Benutzern sowie zum Blockieren und Schützen des Downloads vertraulicher Daten auf nicht verwaltete oder riskante Geräte.
Verbinden von ServiceNow mit Microsoft Defender for Cloud Apps
Dieser Artikel enthält Anweisungen zum Herstellen einer Verbindung Microsoft Defender for Cloud Apps mit Ihrem vorhandenen ServiceNow-Konto mithilfe der App-Connector-API. Diese Verbindung bietet Ihnen Einblick in die ServiceNow-Nutzung und Kontrolle über die Verwendung von ServiceNow. Informationen dazu, wie Defender for Cloud Apps ServiceNow schützt, finden Sie unter Schützen von ServiceNow.
Verwenden Sie diesen App-Connector, um auf SSPM-Features (SaaS Security Posture Management) über Sicherheitskontrollen zuzugreifen, die in der Microsoft-Sicherheitsbewertung angegeben sind. Weitere Informationen.
Voraussetzungen
Defender for Cloud Apps unterstützt die folgenden ServiceNow-Versionen:
- Eureka
- Fidschi
- Genf
- Helsinki
- Istanbul
- Jakarta
- Kingston
- London
- Utah
- Madrid
- New York
- Orlando
- Paris
- Quebec
- Rom
- Nürnberg
- Tokio
- Vancouver
- Washington
- Xanadu
Um ServiceNow mit Defender for Cloud Apps zu verbinden, müssen Sie über die rolle "Admin" verfügen und sicherstellen, dass der ServiceNow-instance api-Zugriff unterstützt.
Weitere Informationen finden Sie in der ServiceNow-Produktdokumentation.
Tipp
Es wird empfohlen, ServiceNow mithilfe von OAuth-App-Token bereitzustellen, die für Fuji und spätere Versionen verfügbar sind. Weitere Informationen finden Sie in der entsprechenden ServiceNow-Dokumentation.
Für frühere Versionen ist ein Legacyverbindungsmodus basierend auf Benutzer/Kennwort verfügbar. Der angegebene Benutzername/das angegebene Kennwort wird nur für die Generierung von API-Token verwendet und nach dem ersten Verbindungsvorgang nicht gespeichert.
Herstellen einer Verbindung zwischen ServiceNow und Defender for Cloud Apps mithilfe von OAuth
Melden Sie sich mit einem Admin-Konto bei Ihrem ServiceNow-Konto an.
Hinweis
Der angegebene Benutzername/das angegebene Kennwort wird nur für die Generierung von API-Token verwendet und nach dem ersten Verbindungsvorgang nicht gespeichert.
Geben Sie in der Suchleiste Filternavigator den Suchbegriff OAuth ein, und wählen Sie Anwendungsregistrierung aus.
Wählen Sie in der Menüleiste Anwendungsregistrierungendie Option Neu aus, um ein neues OAuth-Profil zu erstellen.
Wählen Sie unter Welche Art von OAuth-Anwendung? die Option OAuth-API-Endpunkt für externe Clients erstellen aus.
Füllen Sie unter Anwendungsregistrierungen Neuer Datensatz die folgenden Felder aus:
Feld "Name" , geben Sie dem neuen OAuth-Profil den Namen, z. B. CloudAppSecurity.
Die Client-ID wird automatisch generiert. Kopieren Sie diese ID. Sie müssen sie in Defender for Cloud Apps einfügen, um die Verbindung abzuschließen.
Geben Sie im Feld Geheimer Clientschlüssel eine Zeichenfolge ein. Wenn sie leer gelassen wird, wird automatisch ein zufälliges Geheimnis generiert. Kopieren und speichern Sie es für später.
Erhöhen Sie die Lebensdauer des Zugriffstokens auf mindestens 3.600.
Wählen Sie Senden aus.
Aktualisieren Sie die Lebensdauer des Aktualisierungstokens:
Suchen Sie im Bereich ServiceNow nach System OAuth, und wählen Sie dann Anwendungsregistrierung aus.
Wählen Sie den Namen der definierten OAuth aus, und ändern Sie die Aktualisierungstokenlebensdauer in 7.776.000 Sekunden (90 Tage).
Wählen Sie Aktualisieren aus.
Richten Sie eine interne Prozedur ein, um sicherzustellen, dass die Verbindung aktiv bleibt. Einige Tage vor dem erwarteten Ablauf der Lebensdauer des Aktualisierungstokens. Widerrufen des alten Aktualisierungstokens. Aus Sicherheitsgründen wird davon abgeraten, alte Schlüssel beizubehalten.
Suchen Sie im Bereich ServiceNow nach System OAuth, und wählen Sie dann Token verwalten aus.
Wählen Sie das alte Token aus der Liste entsprechend dem OAuth-Namen und dem Ablaufdatum aus.
Wählen Sie Zugriff > widerrufen widerrufen aus.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Wählen Sie auf der Seite App-Connectorsdie Option +App verbinden und dann ServiceNow aus.
Geben Sie im nächsten Fenster der Verbindung einen Namen, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Details eingeben die Option Verbinden mit OAuth-Token (empfohlen) aus. Wählen Sie Weiter aus.
Fügen Sie auf der Seite Grundlegende Details Ihre ServiceNow-Benutzer-ID, Ihr Kennwort und instance URL in den entsprechenden Feldern hinzu. Wählen Sie Weiter aus.
Um Ihre ServiceNow-Benutzer-ID zu finden, wechseln Sie im ServiceNow-Portal zu Benutzer , und suchen Sie dann Ihren Namen in der Tabelle.
Geben Sie auf der Seite OAuth-Details Ihre Client-ID und den geheimen Clientschlüssel ein. Wählen Sie Weiter aus.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist.
Nachdem Sie eine Verbindung mit ServiceNow hergestellt haben, erhalten Sie sieben Tage vor der Verbindung Ereignisse.
Legacy-ServiceNow-Verbindung
Um ServiceNow mit Defender for Cloud Apps zu verbinden, müssen Sie über Berechtigungen auf Administratorebene verfügen und sicherstellen, dass der ServiceNow-instance API-Zugriff unterstützt.
Melden Sie sich mit einem Admin-Konto bei Ihrem ServiceNow-Konto an.
Erstellen Sie ein neues Dienstkonto für Defender for Cloud Apps, und fügen Sie die Admin Rolle an das neu erstellte Konto an.
Stellen Sie sicher, dass das REST-API-Plug-In aktiviert ist.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus.
Wählen Sie auf der Seite App-Connectorsdie Option +App verbinden und dann ServiceNow aus.
Geben Sie im nächsten Fenster der Verbindung einen Namen, und wählen Sie Weiter aus.
Wählen Sie auf der Seite Details eingeben die Option Nur mit Benutzername und Kennwort verbinden aus. Wählen Sie Weiter aus.
Fügen Sie auf der Seite Grundlegende Details Ihre ServiceNow-Benutzer-ID, Ihr Kennwort und instance URL in den entsprechenden Feldern hinzu. Wählen Sie Weiter aus.
Wählen Sie Verbinden aus.
Wählen Sie im Microsoft Defender Portal die Option Einstellungen aus. Wählen Sie dann Cloud-Apps aus. Wählen Sie unter Verbundene Appsdie Option App-Connectors aus. Stellen Sie sicher, dass der status des verbundenen App-Connectors Verbunden ist. Nachdem Sie eine Verbindung mit ServiceNow hergestellt haben, erhalten Sie sieben Tage vor der Verbindung Ereignisse.
Wenn Sie Probleme beim Herstellen einer Verbindung mit der App haben, finden Sie weitere Informationen unter Problembehandlung für App-Connectors.
Nächste Schritte
Wenn Probleme auftreten, helfen wir Ihnen gerne weiter. Um Unterstützung oder Support für Ihr Produktproblem zu erhalten, öffnen Sie bitte ein Supportticket.