Поделиться через


Защита среды ServiceNow Defender для облака Apps

В качестве крупного поставщика облачных служб CRM ServiceNow включает в себя большие объемы конфиденциальной информации о клиентах, внутренних процессах, инцидентах и отчетах в организации. Будучи критически важным для бизнеса приложением, ServiceNow получает доступ и используется людьми внутри организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях большая часть пользователей, обращаюющихся к ServiceNow, имеет низкую осведомленность о безопасности и может поставить под угрозу конфиденциальную информацию, непреднамеренно предоставив ей общий доступ. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.

Подключение ServiceNow к Defender для облака Apps предоставляет улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, например, когда конфиденциальная информация клиента отправляется в облако ServiceNow.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточно осведомленности о безопасности
  • Неуправляемый перенос собственного устройства (BYOD)

Как Defender для облака Приложения помогают защитить среду

Управление безопасностью SaaS

Подключите ServiceNow , чтобы автоматически получать рекомендации по безопасности для ServiceNow в Microsoft Secure Score.

В разделе "Оценка безопасности" выберите рекомендуемые действия и фильтруйте по Product = ServiceNow. Например, рекомендации по ServiceNow включают:

  • Включение MFA
  • Активация подключаемого модуля явной роли
  • Включение подключаемого модуля высокой безопасности
  • Включение авторизации запроса скрипта

Дополнительные сведения см. в разделе:

Управление ServiceNow со встроенными политиками и шаблонами политик

Для обнаружения и уведомления о потенциальных угрозах можно использовать следующие встроенные шаблоны политик:

Тип Имя.
Встроенная политика обнаружения аномалий Действия, выполняемые с анонимных IP-адресов
Действие из редко упоминаемой страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений)
Множество неудачных попыток входа
Обнаружение программ-шантажистов
Необычные действия загрузки файлов
Шаблон политики действий Вход с опасных IP-адресов
Массовое скачивание одним пользователем
Шаблон политики файлов Обнаружение общего файла с несанкционированным доменом
Обнаружение общего файла с личными адресами электронной почты
Обнаружение файлов с помощью PII/PCI/PHI

Дополнительные сведения о создании политик см. в разделе "Создание политики".

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, можно применить и автоматизировать следующие действия управления ServiceNow для устранения обнаруженных угроз:

Тип Действие
Управление пользователями — уведомлять пользователя об оповещении (с помощью идентификатора Microsoft Entra)
— требовать повторного входа пользователя (с помощью идентификатора Microsoft Entra)
— Приостановка пользователя (с помощью идентификатора Microsoft Entra)

Дополнительные сведения об устранении угроз из приложений см. в разделе "Управление подключенными приложениями".

Защита ServiceNow в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями и блокировкой и защитой загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение ServiceNow к приложениям Microsoft Defender для облака

В этой статье приведены инструкции по подключению Microsoft Defender для облака Apps к существующей учетной записи ServiceNow с помощью API соединителя приложений. Это подключение обеспечивает наглядность и контроль использования ServiceNow. Сведения о том, как Defender для облака Приложения защищают ServiceNow, см. в разделе Protect ServiceNow.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Необходимые компоненты

Defender для облака Приложения поддерживают следующие версии ServiceNow:

  • Эврика
  • Фиджи
  • Женева
  • Хельсинки
  • Стамбул
  • Jakarta
  • Кингстон
  • Лондон
  • Юта
  • Мадрид
  • Нью-Йорк
  • Orlando
  • Париж
  • Квебек
  • Рим
  • Сан-Диего;
  • Токио
  • Ванкувер
  • Вашингтон
  • Xanadu

Чтобы подключить ServiceNow к Defender для облака Apps, необходимо иметь роль администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

Дополнительные сведения см. в документации по продукту ServiceNow.

Совет

Мы рекомендуем развернуть ServiceNow с помощью токенов приложений OAuth, доступных для Fuji и более поздних выпусков. Дополнительные сведения см. в соответствующей документации ServiceNow.

Для более ранних выпусков доступен устаревший режим подключения с использованием имени пользователя и пароля. Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.

Подключение ServiceNow к приложениям Defender для облака с помощью OAuth

  1. Войдите в учетную запись ServiceNow с учетной записи администратора.

    Примечание.

    Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.

  2. В строке поиска Filter navigator (Навигатор фильтра) введите OAuth и выберите Application Registry (Реестр приложения).

  3. В строке меню "Реестры приложений" выберите "Создать ", чтобы создать новый профиль OAuth.

  4. В разделе "Какое приложение OAuth?", выберите "Создать конечную точку API OAuth" для внешних клиентов.

  5. В разделе Application Registries New record (Реестры приложения: новая запись) заполните следующие поля.

    • В поле Name (Имя) введите имя нового профиля OAuth, например CloudAppSecurity.

    • Поле Client ID (Идентификатор клиента) будет заполнено автоматически. Скопируйте этот идентификатор, необходимо вставить его в Defender для облака Apps для завершения подключения.

    • В поле Client Secret (Секрет клиента) введите строку. Если оставить это поле пустым, будет автоматически создан случайный секрет. Скопируйте и сохраните его для последующего использования.

    • Увеличьте значение в поле Access Token Lifespan (Время существования токена доступа) по крайней мере до 3600.

    • Выберите Отправить.

  6. Обновите срок действия маркера обновления:

    1. В области ServiceNow найдите System OAuth и выберите Реестр приложений.

    2. Выберите имя определенного OAuth и измените Срок жизни маркера обновления на 7 776 000 с (90 дней).

    3. Выберите Обновить.

  7. Реализуйте внутреннюю процедуру, обеспечивающую постоянную активность подключения. Через пару дней до ожидаемого истечения срока действия маркера обновления. Отзовите старый маркер обновления. В целях безопасности мы не рекомендуем хранить старые ключи.

    1. В области ServiceNow найдите System OAuth и выберите Управление маркерами.

    2. Выберите старый маркер в списке по имени OAuth и дате окончания срока действия.

    3. Выберите "Отменить доступ > ".

  8. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений".

  9. На странице соединитель приложений выберите +Подключить приложение, а затем ServiceNow.

    подключение ServiceNow.

  10. В следующем окне укажите имя подключения и нажмите кнопку "Далее".

  11. На странице сведений о вводе выберите "Подключиться" с помощью маркера OAuth (рекомендуется). Выберите Далее.

  12. На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.

    Снимок экрана: диалоговое окно сведений о соединителе приложений ServiceNow.

    • Чтобы найти идентификатор пользователя ServiceNow, перейдите на портале ServiceNow на вкладку Пользователи и найдите свое имя в таблице.

      Идентификатор пользователя ServiceNow.

  13. На странице сведений OAuth введите идентификатор клиента и секрет клиента. Выберите Далее.

  14. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено.

После подключения ServiceNow вы получите события в течение семи дней до подключения.

Подключение к ServiceNow в устаревшем режиме

Чтобы подключить ServiceNow к приложениям Defender для облака, необходимо иметь разрешения на уровне администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

  1. Войдите в учетную запись ServiceNow с учетной записи администратора.

  2. Создайте новую учетную запись службы для приложений Defender для облака и вложите роль администратора в только что созданную учетную запись.

  3. Убедитесь в том, что подключаемый модуль REST API включен.

    Учетная запись ServiceNow.

  4. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений".

  5. На странице соединитель приложений выберите +Подключить приложение, а затем ServiceNow.

    подключение ServiceNow.

  6. В следующем окне укажите имя подключения и нажмите кнопку "Далее".

  7. На странице сведений о вводе выберите "Подключиться" только с помощью имени пользователя и пароля. Выберите Далее.

  8. На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.

    ServiceNow update password.

  9. Нажмите Подключиться.

  10. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено. После подключения ServiceNow вы получите события в течение семи дней до подключения.

Если у вас возникли проблемы с подключением к приложению, см. статью "Устранение неполадок соединителей приложений".

Следующие шаги

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.