Del via

Slik bidrar Defender for Cloud Apps til å beskytte ServiceNow-miljøet

Som en stor CRM-skyleverandør inneholder ServiceNow store mengder sensitiv informasjon om kunder, interne prosesser, hendelser og rapporter i organisasjonen. ServiceNow er en forretningskritisk app, og brukes av personer i organisasjonen og av andre utenfor den (for eksempel partnere og leverandører) til ulike formål. I mange tilfeller har en stor andel av brukerne som har tilgang til ServiceNow, liten bevissthet om sikkerhet og kan sette sensitiv informasjon i fare ved utilsiktet å dele den. I andre tilfeller kan ondsinnede aktører få tilgang til de mest sensitive kunderelaterte ressursene dine.

Å koble ServiceNow til Defender for Cloud Apps forbedrer innsikt i brukernes aktiviteter. Det bidrar også til å oppdage trusler ved hjelp av avviksregistrering av maskinlæring og informasjonsbeskyttelse, for eksempel identifisering av når sensitive kundedata lastes opp til ServiceNow.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Hovedtrusler

  • Kompromitterte kontoer og insider-trusler
  • Datalekkasje
  • Utilstrekkelig sikkerhetsbevissthet
  • Uadministrert ta med din egen enhet (BYOD)

Slik bidrar Defender for Cloud Apps til å beskytte miljøet ditt

SaaS sikkerhet holdning ledelse

Koble Til ServiceNow for automatisk å få sikkerhetsanbefalinger for ServiceNow i Microsoft Secure Score.

Velg Anbefalte handlinger i Sikker poengsum, og filtrer etter Product = ServiceNow. Anbefalinger for ServiceNow inkluderer for eksempel:

  • Aktiver MFA
  • Aktiver plugin-modulen for eksplisitt rolle
  • Aktiver plugin-modul for høy sikkerhet
  • Aktiver godkjenning av skriptforespørsel

Hvis du vil ha mer informasjon, kan du se:

Kontroller ServiceNow med innebygde policyer og policymaler

Du kan bruke følgende innebygde policymaler til å oppdage og varsle deg om potensielle trusler:

Type: Navn
Innebygd policy for avviksregistrering Aktivitet fra anonyme IP-adresser
Aktivitet fra sjeldent land
Aktivitet fra mistenkelige IP-adresser
Umulig reise
Aktivitet utført av avsluttet bruker (krever Microsoft Entra ID som IdP)
Flere mislykkede påloggingsforsøk
Gjenkjenning av løsepengevirus
Uvanlige nedlastingsaktiviteter for flere filer
Mal for aktivitetspolicy Pålogging fra en risikabel IP-adresse
Massenedlasting av én enkelt bruker
Mal for filpolicy Oppdage en fil som er delt med et uautorisert domene
Oppdage en fil som er delt med personlige e-postadresser
Oppdag filer med PII/PCI/PHI

Hvis du vil ha mer informasjon om hvordan du oppretter policyer, kan du se Opprette en policy.

Automatiser styringskontroller

I tillegg til å overvåke potensielle trusler, kan du bruke og automatisere følgende ServiceNow-styringshandlinger for å utbedre oppdagede trusler:

Type: Handling
Brukerstyring – Varsle brukeren i beredskap (via Microsoft Entra ID)
– Krev at brukeren logger på igjen (via Microsoft Entra ID)
- Avbryte bruker (via Microsoft Entra ID)

Hvis du vil ha mer informasjon om utbedring av trusler fra apper, kan du se Styrende tilkoblede apper.

Beskytt ServiceNow i sanntid

Se gjennom våre anbefalte fremgangsmåter for å sikre og samarbeide med eksterne brukere og blokkere og beskytte nedlasting av sensitive data til uadministrerte eller risikable enheter.

Koble ServiceNow til Microsoft Defender for Cloud Apps

Denne artikkelen inneholder instruksjoner for hvordan du kobler Microsoft Defender for Cloud Apps til den eksisterende ServiceNow-kontoen ved hjelp av appkoblings-API-en. Denne tilkoblingen gir deg innsyn i og kontroll over bruk av ServiceNow. Hvis du vil ha informasjon om hvordan Defender for Cloud Apps beskytter ServiceNow, kan du se Beskytt ServiceNow.

Bruk denne appkoblingen til å få tilgang til SSPM-funksjoner (SaaS Security Posture Management), via sikkerhetskontroller som gjenspeiles i Microsoft Secure Score. Finn ut mer.

Forutsetninger

  • Hvis du vil koble ServiceNow til Defender for Cloud Apps,
  • ServiceNow-forekomsten må støtte API-tilgang.
  • Du må ha en administratorrolle.
  • Administratorkontoen som brukes til å opprette tilkoblingen, må ha tillatelse til å bruke API-en.

Defender for Cloud Apps støtter følgende ServiceNow-versjoner:

  • Eureka
  • Fiji
  • Genève
  • Helsinki
  • Istanbul
  • Jakarta
  • Kingston
  • London
  • Madrid
  • New York
  • Orlando
  • Paris
  • Quebec
  • Roma
  • San Diego
  • Tokyo
  • Utah
  • Vancouver
  • Washington
  • Xanadu
  • Yokohama
  • Zurich

Hvis du vil ha mer informasjon, kan du se produktdokumentasjonen for ServiceNow.

Tips

Vi anbefaler at du distribuerer ServiceNow ved hjelp av OAuth-apptokener, tilgjengelig for Fuji og senere versjoner. Hvis du vil ha mer informasjon, kan du se den relevante ServiceNow-dokumentasjonen.

I tidligere versjoner brukes en eldre tilkoblingsmodus som bruker brukernavn og passord Brukernavnet og passordet som er angitt, brukes bare for generering av API-token og lagres ikke etter den første tilkoblingsprosessen.

Slik kobler du ServiceNow til Defender for Cloud Apps ved hjelp av OAuth

  1. Logg på med en Admin konto til ServiceNow-kontoen.

    Obs!

    For tidligere versjoner er en eldre tilkoblingsmodus tilgjengelig basert på bruker/passord. Det angitte brukernavnet/passordet brukes bare for generering av API-token og lagres ikke etter den første tilkoblingsprosessen.

  2. Opprett en ny OAuth-profil, og velg deretter Opprett et OAuth API-endepunkt for eksterne klienter.

  3. Fyll ut følgende programregister Nye postfelt :

    1. Skriv inn et navn for OAuth-profilen din, for eksempel CloudAppSecurity.

    2. Kopier klient-ID-en. Du vil trenge det senere.

    3. Skriv inn en streng i Klienthemmelighet-feltet . Hvis den står tom, genereres en tilfeldig hemmelighet automatisk. Kopier og lagre den til senere.

    4. Øk levetiden for tilgangstokenet til minst 3 600.

  4. Velg navnet på OAuth som ble definert, og endre levetiden for oppdateringstokenet til 7 776 000 sekunder (90 dager).

  5. Opprett en intern prosedyre for å sikre at tilkoblingen forblir aktiv.

    1. Pass på å tilbakekalle det gamle oppdateringstokenet før den forventede utløpsdatoen for oppdateringstokenet.
    2. Rediger den eksisterende koblingen i Microsoft Defender-portalen ved hjelp av samme klient-ID og klienthemmelighet. Dette genererer et nytt oppdateringstoken.

    Obs!

    Dette er en regelmessig prosess hver 90. dag. Uten dette slutter ServiceNow-tilkoblingen å fungere.

Koble ServiceNow til Microsoft Defender for Cloud Apps

  1. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper.

  2. Velg +Koble til en appappkoblinger-siden, og deretter ServiceNow.

    Skjermbilde som viser hvor du finner ServiceNow-koblingen i Defender-portalen.

  3. Gi tilkoblingen et navn i neste vindu, og velg Neste.

  4. Velg Koble til ved hjelp av OAuth-token (anbefales) på siden Angi detaljer. Velg Neste.

    Skjermbilde av dialogboksen Detaljer for ServiceNow App Connector.

  5. Hvis du vil finne bruker-ID-en for ServiceNow, går du til Brukere i ServiceNow-portalen, og deretter finner du navnet ditt i tabellen.

  6. Skriv inn klient-ID-en og klienthemmelighetensiden OAuth-detaljer. Velg Neste.

  7. Velg Innstillinger i Microsoft Defender-portalen. Velg deretter Skyapper. Velg Appkoblinger under Tilkoblede apper. Kontroller at statusen for den tilkoblede App Connector er tilkoblet.

Når du har koblet til ServiceNow, mottar du hendelser i 1 time før tilkoblingen.

Eldre ServiceNow-tilkobling

Hvis du vil koble ServiceNow til Defender for Cloud Apps, må du ha tillatelser på administratornivå og kontrollere at ServiceNow-forekomsten støtter API-tilgang.

  1. Logg på med en Admin konto til ServiceNow-kontoen.

  2. Opprett en ny tjenestekonto for Defender for Cloud Apps, og legg ved Admin-rollen i den nylig opprettede kontoen.

  3. Kontroller at plugin-modulen for REST-API er slått på.

Neste trinn

  • Last updated on