Come Defender per il cloud App consente di proteggere l'ambiente ServiceNow

In qualità di principale provider di servizi cloud CRM, ServiceNow incorpora grandi quantità di informazioni riservate su clienti, processi interni, eventi imprevisti e report all'interno dell'organizzazione. Essendo un'app business critical, ServiceNow è accessibile e usato dalle persone all'interno dell'organizzazione e da altri utenti esterni (ad esempio partner e terzisti) per vari scopi. In molti casi, una gran parte degli utenti che accedono a ServiceNow ha una scarsa consapevolezza della sicurezza e potrebbe mettere a rischio le informazioni sensibili condividendole involontariamente. In altri casi, gli attori malintenzionati possono accedere agli asset più sensibili correlati ai clienti.

Connessione serviceNow per Defender per il cloud app offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning e rilevamenti di protezione delle informazioni, ad esempio l'identificazione quando le informazioni riservate dei clienti vengono caricate nel cloud ServiceNow.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Principali minacce

• Account compromessi e minacce interne
• Perdita di dati
• Consapevolezza della sicurezza insufficiente
• Unmanaged Bring Your Own Device (BYOD)

Come le app Defender per il cloud aiutano a proteggere l'ambiente

• Rilevare minacce cloud, account compromessi e utenti malintenzionati
• Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
• Applicare criteri di prevenzione della perdita dei dati e conformità per i dati archiviati nel cloud
• Limitare l'esposizione dei dati condivisi e applicare i criteri di collaborazione
• Usare il audit trail delle attività per le indagini forensi

Gestione del comportamento di sicurezza SaaS

Connessione ServiceNow per ottenere automaticamente raccomandazioni sulla sicurezza per ServiceNow in Microsoft Secure Score.

In Secure Score selezionare Azioni consigliate e filtrare in base a Product = ServiceNow. Ad esempio, le raccomandazioni per ServiceNow includono:

• Abilitare MFA
• Attivare il plug-in di ruolo esplicito
• Abilitare il plug-in ad alta sicurezza
• Abilitare l'autorizzazione della richiesta di script

Per altre informazioni, vedi:

• Gestione del comportamento di sicurezza per le app SaaS
• Punteggio di sicurezza Microsoft

Controllare ServiceNow con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type	Nome
Criteri di rilevamento anomalie predefiniti	Attività da indirizzi IP anonimi Attività da un paese non frequente Attività da indirizzi IP sospetti Comunicazione impossibile Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP) Più tentativi di accesso non riusciti Rilevamento ransomware Attività insolite di download di più file
Modello di criteri attività	Logon from a risky IP address (Accesso da indirizzo IP rischioso) Mass download by a single user (Download di massa da un singolo utente)
Modello di criteri file	Rilevare un file condiviso con un dominio non autorizzato Rilevare un file condiviso con indirizzi di posta elettronica personali Rilevare i file con PII/PCI/PHI

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di ServiceNow seguenti per correggere le minacce rilevate:

Type	Azione
Governance dell'utente	- Notifica all'utente all'avviso (tramite Microsoft Entra ID) - Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID) - Sospendere l'utente (tramite Microsoft Entra ID)

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere ServiceNow in tempo reale

Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connessione ServiceNow per Microsoft Defender per il cloud app

Questo articolo fornisce istruzioni per la connessione di app Microsoft Defender per il cloud all'account ServiceNow esistente usando l'API del connettore di app. Questa connessione offre visibilità e controllo sull'utilizzo di ServiceNow. Per informazioni su come le app Defender per il cloud proteggono ServiceNow, vedere Proteggere ServiceNow.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Prerequisiti

Defender per il cloud Apps supporta le versioni di ServiceNow seguenti:

• Eureka
• Fiji
• Ginevra
• Helsinki
• Istanbul
• Jakarta
• Kingston
• Londra
• Utah

• Madrid
• New York
• Orlando
• Parigi
• Quebec
• Roma
• San Diego
• Tokyo
• Vancouver

Per connettere ServiceNow alle app di Defender per il cloud, è necessario avere il ruolo Amministrazione e assicurarsi che l'istanza di ServiceNow supporti l'accesso all'API.

Per altre informazioni, vedere la documentazione del prodotto ServiceNow.

Suggerimento

È consigliabile distribuire ServiceNow usando i token dell'app OAuth, disponibili per Fuji e versioni successive. Per altre informazioni, vedere la documentazione pertinente di ServiceNow.

Per le versioni precedenti, è disponibile una modalità di connessione legacy basata su utente/password. Il nome utente e la password specificati vengono usati solo per la generazione del token API e non vengono salvati dopo il processo di connessione iniziale.

Come connettere ServiceNow alle app Defender per il cloud tramite OAuth

1. Accedere a ServiceNow con un account amministratore.

   Nota

   Il nome utente e la password specificati vengono usati solo per la generazione del token API e non vengono salvati dopo il processo di connessione iniziale.

2. Nella barra di ricerca Filter navigator (Selezione filtro) digitare OAuth e selezionare Application Registry (Registro applicazioni).

3. Nella barra dei menu Registri applicazioni selezionare Nuovo per creare un nuovo profilo OAuth.

4. In Che tipo di applicazione OAuth selezionare Crea un endpoint API OAuth per i client esterni.

5. In Application Registries New record (Registri applicazioni Nuovo record) specificare le informazioni seguenti:

   • Nome del nuovo profilo OAuth nel campo Name (Nome), ad esempio CloudAppSecurity.

   • Il valore di Client ID (ID client) viene generato automaticamente. Copiare questo ID, è necessario incollarlo in Defender per il cloud App per completare la connessione.

   • Nel campo Client Secret (Segreto client) immettere una stringa. Se il campo viene lasciato vuoto, viene generato automaticamente un segreto casuale. Copiare il segreto e salvarlo per un uso successivo.

   • Aumentare il valore di Access Token Lifespan (Durata token di accesso) ad almeno 3.600.

   • Seleziona Invia.

6. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.

7. Nella pagina Connettore app selezionare +Connessione un'app e quindi ServiceNow.

   

8. Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.

9. Nella pagina Immettere i dettagli selezionare Connessione usando il token OAuth (scelta consigliata). Seleziona Avanti.

10. Nella pagina Dettagli di base aggiungere l'ID utente, la password e l'URL dell'istanza di ServiceNow nelle caselle appropriate. Seleziona Avanti.

    

    • Per trovare l'ID utente ServiceNow, nel portale di ServiceNow passare a Users (Utenti) e quindi individuare il nome nella tabella.

      

11. Nella pagina Dettagli OAuth immettere l'ID client e il segreto client. Seleziona Avanti.

12. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione.

Dopo aver connesso ServiceNow, si riceveranno eventi per sette giorni prima della connessione.

Connessione legacy di ServiceNow

Per connettere ServiceNow alle app di Defender per il cloud, è necessario disporre delle autorizzazioni a livello di amministratore e assicurarsi che l'istanza di ServiceNow supporti l'accesso all'API.

1. Accedere a ServiceNow con un account amministratore.

2. Creare un nuovo account del servizio per Defender per il cloud App e allegare il ruolo Amministrazione all'account appena creato.

3. Verificare che il plug-in dell'API REST sia attivato.

   

4. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors.

5. Nella pagina Connettore app selezionare +Connessione un'app e quindi ServiceNow.

   

6. Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.

7. Nella pagina Immettere i dettagli selezionare Connessione usando solo nome utente e password. Seleziona Avanti.

8. Nella pagina Dettagli di base aggiungere l'ID utente, la password e l'URL dell'istanza di ServiceNow nelle caselle appropriate. Seleziona Avanti.

   

9. Selezionare Connetti.

10. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In app Connessione ed selezionare App Connessione ors. Verificare che lo stato dell'Connessione or dell'app connessa sia Connessione. Dopo aver connesso ServiceNow, si riceveranno eventi per sette giorni prima della connessione.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai Connessione ors dell'app.

Passaggi successivi

Controllare le app cloud mediante criteri

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.