Защита среды ServiceNow Defender для облака Apps

В качестве крупного поставщика облачных служб CRM ServiceNow включает в себя большие объемы конфиденциальной информации о клиентах, внутренних процессах, инцидентах и отчетах в организации. Будучи критически важным для бизнеса приложением, ServiceNow получает доступ и используется людьми внутри организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях большая часть пользователей, обращаюющихся к ServiceNow, имеет низкую осведомленность о безопасности и может поставить под угрозу конфиденциальную информацию, непреднамеренно предоставив ей общий доступ. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.

Подключение ServiceNow к Defender для облака Apps предоставляет улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, например, когда конфиденциальная информация клиента отправляется в облако ServiceNow.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

• Скомпрометированные учетные записи и внутренние угрозы
• Утечка данных
• Недостаточно осведомленности о безопасности
• Неуправляемый перенос собственного устройства (BYOD)

Как Defender для облака Приложения помогают защитить среду

• Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
• Обнаружение, классификация, метка и защита регулируемых и конфиденциальных данных, хранящихся в облаке
• Применение политик защиты от потери данных и соответствия требованиям для данных, хранящихся в облаке
• Ограничение воздействия общих данных и применение политик совместной работы
• Использование следа аудита действий для судебно-медицинских расследований

Управление безопасностью SaaS

Подключите ServiceNow , чтобы автоматически получать рекомендации по безопасности для ServiceNow в Microsoft Secure Score.

В разделе "Оценка безопасности" выберите рекомендуемые действия и фильтруйте по Product = ServiceNow. Например, рекомендации по ServiceNow включают:

• Включение MFA
• Активация подключаемого модуля явной роли
• Включение подключаемого модуля высокой безопасности
• Включение авторизации запроса скрипта

Дополнительные сведения см. в разделе:

• Управление безопасностью для приложений SaaS
• Оценка безопасности Майкрософт

Управление ServiceNow со встроенными политиками и шаблонами политик

Для обнаружения и уведомления о потенциальных угрозах можно использовать следующие встроенные шаблоны политик:

Тип	Имя.
Встроенная политика обнаружения аномалий	Действия, выполняемые с анонимных IP-адресов Действие из редко упоминаемой страны
Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений) Множество неудачных попыток входа Обнаружение программ-шантажистов Необычные действия загрузки файлов
Шаблон политики действий	Вход с опасных IP-адресов Массовое скачивание одним пользователем
Шаблон политики файлов	Обнаружение общего файла с несанкционированным доменом Обнаружение общего файла с личными адресами электронной почты Обнаружение файлов с помощью PII/PCI/PHI

Дополнительные сведения о создании политик см. в разделе "Создание политики".

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, можно применить и автоматизировать следующие действия управления ServiceNow для устранения обнаруженных угроз:

Тип	Действие
Управление пользователями	— уведомлять пользователя об оповещении (с помощью идентификатора Microsoft Entra) — требовать повторного входа пользователя (с помощью идентификатора Microsoft Entra) — Приостановка пользователя (с помощью идентификатора Microsoft Entra)

Дополнительные сведения об устранении угроз из приложений см. в разделе "Управление подключенными приложениями".

Защита ServiceNow в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями и блокировкой и защитой загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение ServiceNow к приложениям Microsoft Defender для облака

В этой статье приведены инструкции по подключению Microsoft Defender для облака Apps к существующей учетной записи ServiceNow с помощью API соединителя приложений. Это подключение обеспечивает наглядность и контроль использования ServiceNow. Сведения о том, как Defender для облака Приложения защищают ServiceNow, см. в разделе Protect ServiceNow.

Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.

Необходимые компоненты

Defender для облака Приложения поддерживают следующие версии ServiceNow:

• Эврика
• Фиджи
• Женева
• Хельсинки
• Стамбул
• Jakarta
• Кингстон
• Лондон
• Юта

• Мадрид
• Нью-Йорк
• Orlando
• Париж
• Квебек
• Рим
• Сан-Диего;
• Токио
• Ванкувер
• Вашингтон
• Xanadu

Чтобы подключить ServiceNow к Defender для облака Apps, необходимо иметь роль администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

Дополнительные сведения см. в документации по продукту ServiceNow.

Совет

Мы рекомендуем развернуть ServiceNow с помощью токенов приложений OAuth, доступных для Fuji и более поздних выпусков. Дополнительные сведения см. в соответствующей документации ServiceNow.

Для более ранних выпусков доступен устаревший режим подключения с использованием имени пользователя и пароля. Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.

Подключение ServiceNow к приложениям Defender для облака с помощью OAuth

1. Войдите в учетную запись ServiceNow с учетной записи администратора.

   Примечание.

   Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.

2. В строке поиска Filter navigator (Навигатор фильтра) введите OAuth и выберите Application Registry (Реестр приложения).

3. В строке меню "Реестры приложений" выберите "Создать ", чтобы создать новый профиль OAuth.

4. В разделе "Какое приложение OAuth?", выберите "Создать конечную точку API OAuth" для внешних клиентов.

5. В разделе Application Registries New record (Реестры приложения: новая запись) заполните следующие поля.

   • В поле Name (Имя) введите имя нового профиля OAuth, например CloudAppSecurity.

   • Поле Client ID (Идентификатор клиента) будет заполнено автоматически. Скопируйте этот идентификатор, необходимо вставить его в Defender для облака Apps для завершения подключения.

   • В поле Client Secret (Секрет клиента) введите строку. Если оставить это поле пустым, будет автоматически создан случайный секрет. Скопируйте и сохраните его для последующего использования.

   • Увеличьте значение в поле Access Token Lifespan (Время существования токена доступа) по крайней мере до 3600.

   • Выберите Отправить.

6. Обновите срок действия маркера обновления:

   1. В области ServiceNow найдите System OAuth и выберите Реестр приложений.

   2. Выберите имя определенного OAuth и измените Срок жизни маркера обновления на 7 776 000 с (90 дней).

   3. Выберите Обновить.

7. Реализуйте внутреннюю процедуру, обеспечивающую постоянную активность подключения. Через пару дней до ожидаемого истечения срока действия маркера обновления. Отзовите старый маркер обновления. В целях безопасности мы не рекомендуем хранить старые ключи.

   1. В области ServiceNow найдите System OAuth и выберите Управление маркерами.

   2. Выберите старый маркер в списке по имени OAuth и дате окончания срока действия.

   3. Выберите "Отменить доступ > ".

8. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений".

9. На странице соединитель приложений выберите +Подключить приложение, а затем ServiceNow.

   

10. В следующем окне укажите имя подключения и нажмите кнопку "Далее".

11. На странице сведений о вводе выберите "Подключиться" с помощью маркера OAuth (рекомендуется). Выберите Далее.

12. На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.

    

    • Чтобы найти идентификатор пользователя ServiceNow, перейдите на портале ServiceNow на вкладку Пользователи и найдите свое имя в таблице.

      

13. На странице сведений OAuth введите идентификатор клиента и секрет клиента. Выберите Далее.

14. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено.

После подключения ServiceNow вы получите события в течение семи дней до подключения.

Подключение к ServiceNow в устаревшем режиме

Чтобы подключить ServiceNow к приложениям Defender для облака, необходимо иметь разрешения на уровне администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

1. Войдите в учетную запись ServiceNow с учетной записи администратора.

2. Создайте новую учетную запись службы для приложений Defender для облака и вложите роль администратора в только что созданную учетную запись.

3. Убедитесь в том, что подключаемый модуль REST API включен.

   

4. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений".

5. На странице соединитель приложений выберите +Подключить приложение, а затем ServiceNow.

   

6. В следующем окне укажите имя подключения и нажмите кнопку "Далее".

7. На странице сведений о вводе выберите "Подключиться" только с помощью имени пользователя и пароля. Выберите Далее.

8. На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.

   

9. Нажмите Подключиться.

10. На портале Microsoft Defender выберите параметры. Затем выберите "Облачные приложения". В разделе "Подключенные приложения" выберите "Соединители приложений". Убедитесь, что состояние подключенного соединителя приложений подключено. После подключения ServiceNow вы получите события в течение семи дней до подключения.

Если у вас возникли проблемы с подключением к приложению, см. статью "Устранение неполадок соединителей приложений".

Следующие шаги

Управление облачными приложениями с помощью политик

Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.