Defender for Cloud Apps が ServiceNow 環境の保護に役立つしくみ
ServiceNow は、大手の CRM クラウド プロバイダーとして、顧客、内部プロセス、インシデント、組織内のレポートに関する大量の機密情報を組み込んでいます。 ビジネスに不可欠なアプリである ServiceNow は、組織内のユーザーや、組織内外の他のユーザー (パートナーや請負業者など) によってさまざまな目的でアクセスされ、使用されます。 多くの場合、ServiceNow にアクセスするユーザーのほとんどはセキュリティに対する意識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他のインスタンスでは、悪意のあるアクターが最も機密性の高い顧客関連の資産にアクセスする可能性があります。
ServiceNow を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関するより深い分析情報が得られ、機械学習ベースの異常検出を使用した脅威検出、顧客の機密情報が ServiceNow クラウドにアップロードされたことの特定などの情報保護検出を行えるようになります。
このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。
主な脅威
- 侵害されたアカウントと内部関係者による脅威
- データ漏えい
- セキュリティに対する認識不足
- 管理されていない個人のデバイスの持ち込み (BYOD)
環境を保護する場合の Defender for Cloud Apps の利点
- クラウドの脅威、侵害されたアカウント、悪意のある内部関係者を検出する
- クラウドに格納されている規制対象の機密データを検出、分類、ラベル付け、保護する
- クラウドに格納されているデータに対して DLP ポリシーとコンプライアンス ポリシーを適用する
- 共有データの公開を制限し、コラボレーション ポリシーを適用する
- フォレンジック調査にアクティビティの監査証跡を使用する
SaaS セキュリティ態勢管理
ServiceNow を接続して、Microsoft セキュア スコアで ServiceNow のセキュリティに関する推奨事項を自動的に取得します。
Secure Score で、[推奨アクション] を選択し、[製品] = [ServiceNow] でフィルター処理します。 たとえば、ServiceNow の推奨事項には次のものがあります。
- MFA を有効にする
- 明示的な役割 プラグインをアクティブ化する
- 高セキュリティ プラグインを有効にする
- スクリプト要求認可有効にする
詳細については、以下を参照してください:
組み込みのポリシーとポリシー テンプレートで ServiceNow を制御する
次の組み込みのポリシー テンプレートを使用すると、潜在的な脅威を検出して通知することができます。
| Type | 名前 |
|---|---|
| 組み込みの異常検出ポリシー | 匿名 IP アドレスからのアクティビティ 頻度の低い国からのアクティビティ 不審な IP アドレスからのアクティビティ あり得ない移動 終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要) 複数回失敗したログイン試行 ランサムウェアの検出 複数回にわたる異常なファイル ダウンロード アクティビティ |
| アクティビティ ポリシー テンプレート | Logon from a risky IP address (危険な IP アドレスからのログオン) Mass download by a single user (1 人のユーザーによる大量ダウンロード) |
| ファイル ポリシー テンプレート | 未承認のドメインと共有されているファイルの検出 個人の電子メール アドレスで共有されたファイルの検出 PII/PCI/PHI を含むファイルの検出 |
ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。
ガバナンス制御を自動化する
潜在的な脅威を監視することに加えて、以下の ServiceNow ガバナンス アクションを適用および自動化して、検出された脅威を修復することができます。
| Type | アクション |
|---|---|
| ユーザー ガバナンス | - アラートをユーザーに通知する (Microsoft Entra ID 経由) - ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由) - ユーザーを一時停止する (Microsoft Entra ID 経由) |
アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。
ServiceNow をリアルタイムで保護する
外部ユーザーをセキュリティで保護して共同作業し、管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベスト プラクティスを参照してください。
ServiceNow を Microsoft Defender for Cloud Apps に接続する
この記事では、アプリ コネクタ API を使用して、Microsoft Defender for Cloud Apps を既存の ServiceNow アカウントに接続する方法を示します。 この接続により、ServiceNow の使用状況を視覚化して制御できるようになります。 Defender for Cloud Apps での ServiceNow の保護方法の詳細については、ServiceNow の保護に関する記事を参照してください。
このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。
前提条件
Defender for Cloud Apps は、以下の ServiceNow バージョンをサポートします。
- Eureka
- フィジー
- ジュネーブ
- Helsinki
- イスタンブール
- Jakarta
- Kingston
- London
- ユタ
- マドリッド
- ニューヨーク
- Orlando
- Paris
- ケベック
- Rome
- サンディエゴ
- 東京
- Vancouver
ServiceNow を Defender for Cloud Apps に接続するには、管理者ロールが必要であるほか、ServiceNow インスタンスが API アクセスをサポートしていることを確認する必要があります。
詳細については、ServiceNow の製品ドキュメントを参照してください。
ヒント
Fuji 以降のリリースで使用可能な OAuth アプリ トークンを使用して ServiceNow を展開することをお勧めします。 詳細については、「ServiceNow 製品ドキュメント」を参照してください。
以前のリリースの場合は、レガシー接続モードがユーザー/パスワードに基づいて使用可能です。 指定したユーザー名/パスワードは、API トークンの生成にのみ使用され、最初の接続処理後に保存されません。
OAuth を使用して ServiceNow を Defender for Cloud Apps に接続する方法
ServiceNow アカウントに管理者アカウントでサインインします。
Note
指定したユーザー名/パスワードは、API トークンの生成にのみ使用され、最初の接続処理後に保存されません。
[Filter navigator (フィルター ナビゲーター)] 検索バーに「OAuth」と入力し、[アプリケーション レジストリ] を選択します。
アプリケーション レジストリ メニュー バーで、新規 を選択して、新しい OAuth プロファイルを作成します。
[どのような OAuth アプリケーションですか?] で、[外部クライアント用の OAuth API エンドポイントを作成する] を選択します。
[Application Registries New record (アプリケーション レジストリの新しいレコード)] の次のフィールドに入力します。
[名前] フィールドに新しい OAuth プロファイルの名前を入力します。たとえば、「CloudAppSecurity」にします。
[クライアント ID] は自動的に生成されます。 この ID をコピーします。接続を完了するために Defender for Cloud Apps に貼り付ける必要があります。
[クライアント シークレット] フィールドに文字列を入力します。 空のままにすると、無作為のシークレットが自動的に生成されます。 後で使用するためにコピーし、保存します。
[Access Token Lifespan (アクセス トークン有効期間)] を 3,600 以上に増やします。
送信を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。
[アプリ コネクタ] ページで、[+アプリを接続] を選択し、[ServiceNow] を選択します。
次のウィンドウで、接続に名前を付け、[次へ] を選択します。
[詳細を入力] ページで、[OAuth トークンを使用して接続する (推奨)] を選択します。 [次へ] を選択します。
[Basic Details] (基本的な詳細) ページで、該当するボックスに ServiceNow のユーザー ID、パスワード、およびインスタンスの URL を追加します。 [次へ] を選択します。
ServiceNow のユーザー ID を見つけるには、ServiceNow ポータルの [ユーザー] に移動して、テーブルの自分の名前を見つけます。
[OAuth の詳細] ページで、クライアント ID とクライアント シークレットを入力します。 [次へ] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。
ServiceNow を接続すると、接続までの 7 日間のイベントを受け取ります。
レガシー ServiceNow 接続
ServiceNow を Defender for Cloud Apps に接続するには、管理者レベルのアクセス許可が必要であるほか、ServiceNow インスタンスによって API アクセスがサポートされていることを確認する必要があります。
ServiceNow アカウントに管理者アカウントでサインインします。
Defender for Cloud Apps 用の新しいサービス アカウントを作成し、その新しく作成したアカウントに管理者ロールを付与します。
REST API のプラグインが有効になっていることを確認します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。
[アプリ コネクタ] ページで、[+アプリを接続] を選択し、[ServiceNow] を選択します。
次のウィンドウで、接続に名前を付け、[次へ] を選択します。
[詳細を入力] ページで、[Connect using username and password only] (ユーザー名とパスワードのみを使用して接続する) を選択します。 [次へ] を選択します。
[Basic Details] (基本的な詳細) ページで、該当するボックスに ServiceNow のユーザー ID、パスワード、およびインスタンスの URL を追加します。 [次へ] を選択します。
[接続] を選択します。
Microsoft Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。 ServiceNow を接続すると、接続までの 7 日間のイベントを受け取ります。
アプリの接続に問題がある場合は、アプリ コネクタのトラブルシューティングを参照してください。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。