Comment Defender for Cloud Apps contribue à la protection de votre environnement ServiceNow

En tant que principal fournisseur de cloud CRM, ServiceNow intègre de grandes quantités d’informations sensibles sur les clients, les processus internes, les incidents et les rapports au sein de votre organisation. Étant une application critique pour l’entreprise, ServiceNow est accessible et utilisé par des personnes au sein de votre organisation et par d’autres personnes en dehors de celle-ci (comme les partenaires et les prestataires) à diverses fins. Dans de nombreux cas, une grande partie de vos utilisateurs accédant à ServiceNow ont une faible connaissance de la sécurité et peuvent mettre vos informations sensibles à risque en les partageant involontairement. Dans d’autres cas, des acteurs malveillants peuvent accéder à vos ressources les plus sensibles liées au client.

La connexion de ServiceNow à Defender for Cloud Apps vous donne des insights améliorés sur les activités de vos utilisateurs, fournit une détection des menaces à l’aide de détections d’anomalies basées sur l’apprentissage automatique et des détections de protection des données, telles que l’identification lorsque des informations client sensibles sont téléchargées vers l’amont dans le cloud ServiceNow.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Menaces principales

• Comptes compromis et menaces internes
• Fuite de données
• Sensibilisation insuffisante à la sécurité
• Appareil BYOD (apportez votre propre appareil) non géré

Comment Defender for Cloud Apps contribue à la protection de votre environnement

• Détecter les menaces du cloud, les comptes compromis et les insiders malveillants
• Découvrir, classifier, étiqueter et protéger les données réglementées et sensibles stockées dans le cloud
• Appliquer des stratégies de conformité et DLP pour les données stockées dans le cloud
• Limiter l’exposition des données partagées et appliquer des stratégies de collaboration
• Utiliser la piste d’audit des activités pour les examens forensiques

Gestion de la posture de sécurité SaaS

Connecter ServiceNow pour obtenir automatiquement des recommandations de sécurité pour ServiceNow dans Microsoft Secure Score.

Dans Secure Score, sélectionnez Actions recommandées et filtrez par Produit = ServiceNow. Voici quelques-unes des recommandations pour ServiceNow :

• Activer l’authentification multifacteur
• Activer le plug-in de rôle explicite
• Activer le plug-in de haute sécurité
• Activer l'autorisation des requêtes de script

Pour plus d’informations, consultez l’article suivant :

• Gestion de la posture de sécurité pour les applications SaaS
• Microsoft Secure Score

Contrôler ServiceNow avec des stratégies et des modèles de stratégie prédéfinis

Vous pouvez utiliser les modèles de stratégie prédéfinis suivants pour détecter les menaces potentielles et vous avertir :

Type	Nom
Stratégie de détection d’anomalie prédéfinie	Activité depuis des adresses IP anonymes Activité à partir de pays peu fréquents
Activité à partir d’adresses IP suspectes Voyage impossible Activité effectuée par l’utilisateur arrêté (nécessite Microsoft Entra ID en tant que fournisseur d’identité) Plusieurs tentatives de connexion infructueuses Détection des rançongiciels Plusieurs activités inhabituelles de téléchargement de fichiers
Modèle de stratégie d’activité	Connexion à partir d’une adresse IP à risque Téléchargement massif par un même utilisateur
Modèle de stratégie de fichier	Détecter un fichier partagé avec un domaine non autorisé Détecter un fichier partagé avec des adresses e-mail personnelles Détecter des fichiers avec PII/PCI/PHI

Pour plus d’informations sur la création de stratégies, consultez Créer une stratégie.

Automatiser les contrôles de gouvernance

Outre la surveillance des menaces potentielles, vous pouvez appliquer et automatiser les actions de gouvernance ServiceNow suivantes pour corriger les menaces détectées :

Type	Action
Gouvernance des utilisateurs	- Avertir l’utilisateur en cas d’alerte (via Microsoft Entra ID) - Exiger que l’utilisateur se reconnecte (via Microsoft Entra ID) - Suspendre l’utilisateur (via Microsoft Entra ID)

Pour plus d’informations sur la correction des menaces des applications, consultez Gouvernance des applications connectées.

Protéger ServiceNow en temps réel

Passez en revue nos meilleures pratiques pour sécuriser et collaborer avec des utilisateurs externes et bloquer et protéger le téléchargement de données sensibles sur des appareils non gérés ou à risque.

Connecter ServiceNow à Microsoft Defender for Cloud Apps

Cet article fournit des instructions pour connecter Microsoft Defender for Cloud Apps à un compte ServiceNow existant à l’aide de l’API de connecteur d’applications. Cette connexion vous permet de bénéficier de plus de visibilité et de contrôle lors de l’utilisation de ServiceNow. Pour plus d’informations sur la façon dont Defender for Cloud Apps protège ServiceNow, consultez Protéger ServiceNow.

Utilisez ce connecteur d’applications pour accéder aux fonctionnalités SaaS Security Posture Management (SSPM), par le biais de contrôles de sécurité reflétés dans le niveau de sécurité Microsoft. Plus d’informations

Prérequis

Defender for Cloud Apps prend en charge les versions ServiceNow suivantes :

• Eurêka
• Fidji (îles)
• Genève
• Helsinki
• Istanbul
• Jakarta
• Kingston
• London
• Utah

• Madrid
• New York
• Orlando
• Paris
• Québec
• Rome
• San Diego
• Tokyo
• Vancouver
• Washington
• Xanadu

Pour connecter ServiceNow à Defender for Cloud Apps, vous devez avoir le rôle Administrateur et vérifier que l’instance ServiceNow prend en charge l’accès à l’API.

Pour plus d’informations, consultez la documentation du produit ServiceNow.

Conseil

Nous vous recommandons de déployer ServiceNow à l’aide de jetons d’application OAuth, disponibles pour Fuji et des versions ultérieures. Pour plus d’informations, consultez la documentation ServiceNow pertinente.

Pour les versions antérieures, un mode de connexion hérité est disponible en fonction de l’utilisateur/du mot de passe. Le nom d’utilisateur et le mot de passe fournis sont utilisés uniquement pour générer les jetons API, et ils ne sont pas enregistrés après le processus initial de connexion.

Comment connecter ServiceNow à Defender for Cloud Apps à l’aide d’OAuth

1. Connectez-vous avec un compte d’administrateur à votre compte ServiceNow.

   Remarque

   Le nom d’utilisateur et le mot de passe fournis sont utilisés uniquement pour générer les jetons API, et ils ne sont pas enregistrés après le processus initial de connexion.

2. Dans le volet de recherche Filter navigator (Navigateur de filtres), tapez OAuth et sélectionnez Application Registry (Registre d’application).

3. Dans la barre de menus Registres d’applications, cliquez sur Nouveau pour créer un profil OAuth.

4. Sous What kind of OAuth application? (Quel type d’application OAuth ?), cliquez sur Create an OAuth API endpoint for external clients (Créer un point de terminaison d’API OAuth pour les clients externes).

5. Sous Application Registries New record (Nouvel enregistrement des registres d’applications), renseignez les champs suivants :

   • Dans le champ Nom, nommez le nouveau profil OAuth, par exemple CloudAppSecurity.

   • L’ID de client est généré automatiquement. Copiez cet ID et collez-le dans Defender for Cloud Apps pour établir la connexion.

   • Dans le champ Secret client, entrez une chaîne. Si ce champ reste vide, un secret aléatoire est généré automatiquement. Copiez la clé et enregistrez-la pour l’utiliser ultérieurement.

   • Augmentez la valeur du champ Access Token Lifespan (Durée de vie du jeton d’accès) jusqu’à au moins 3 600.

   • Sélectionnez Soumettre.

6. Mettez à jour la durée de vie du jeton d’actualisation :

   1. Dans le volet ServiceNow, recherchez Système OAuth, puis sélectionnez Registre d’application.

   2. Sélectionnez le nom du OAuth qui a été défini, puis définissez le champ de durée de vie du jeton d'actualisation sur 7 776 000 secondes (90 jours).

   3. Sélectionnez Update.

7. Établissez une procédure interne pour garantir le maintien de la connexion. Deux jours avant l'expiration prévue de la durée de vie du jeton d'actualisation. Révoquez l’ancien jeton d’actualisation. Nous vous déconseillons de conserver les anciennes clés pour des raisons de sécurité.

   1. Dans le volet ServiceNow, recherchez Système OAuth, puis sélectionnez Gérer les jetons.

   2. Sélectionnez l’ancien jeton dans la liste en fonction du nom OAuth et de la date d’expiration.

   3. Sélectionnez Révoquer l’accès > Révoquer.

8. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.

9. Dans la page Connecteurs d’applications, sélectionnez +Connecter une application, puis sur ServiceNow.

   

10. Dans la fenêtre suivante, donnez un nom à la connexion, puis sélectionnez Suivant.

11. Dans la page Entrer les détails, sélectionnez Connecter à l’aide du jeton OAuth (recommandé). Cliquez sur Suivant.

12. Dans la page Détails de base, ajoutez votre nom d’utilisateur, mot de passe et URL d’instance ServiceNow dans les zones appropriées. Cliquez sur Suivant.

    

    • Pour trouver votre ID d’utilisateur ServiceNow, dans le portail ServiceNow, accédez à Utilisateurs, puis recherchez votre nom dans le tableau.

      

13. Dans la page Détails OAuth, entrez votre ID client et votre clé secrète client. Cliquez sur Suivant.

14. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté.

Après avoir connecté ServiceNow, vous recevez les événements des sept jours précédant la connexion.

Connexion ServiceNow héritée

Pour connecter ServiceNow à Defender for Cloud Apps, vous devez avoir des autorisations de niveau administrateur et vérifier que l’instance ServiceNow prend en charge l’accès à l’API.

1. Connectez-vous avec un compte d’administrateur à votre compte ServiceNow.

2. Créez un compte de service pour Defender for Cloud Apps et attachez le rôle d’administrateur au compte nouvellement créé.

3. Vérifiez que le plug-in API REST est activé.

   

4. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications.

5. Dans la page Connecteurs d’applications, sélectionnez +Connecter une application, puis sur ServiceNow.

   

6. Dans la fenêtre suivante, donnez un nom à la connexion, puis sélectionnez Suivant.

7. Dans la page Saisir les détails, sélectionnez Connecter à l’aide du nom d’utilisateur et du mot de passe uniquement. Cliquez sur Suivant.

8. Dans la page Détails de base, ajoutez votre nom d’utilisateur, mot de passe et URL d’instance ServiceNow dans les zones appropriées. Cliquez sur Suivant.

   

9. Sélectionnez Connecter.

10. Dans le portail Microsoft Defender, sélectionnez Paramètres. Choisissez ensuite Logiciels cloud. Sous Applications connectées, sélectionnez Connecteurs d’applications. Vérifiez que le statut du connecteur d’applications connectées est Connecté. Après avoir connecté ServiceNow, vous recevez les événements des sept jours précédant la connexion.

Si vous rencontrez des problèmes lors de la connexion de l’application, consultez Résolution des problèmes liés aux connecteurs d’applications.

Étapes suivantes

Contrôler les applications cloud avec des stratégies

Si vous rencontrez des problèmes, nous sommes là pour vous aider. Pour obtenir de l’aide ou du support pour votre problème de produit, veuillez ouvrir un ticket de support.