Så här skyddar Defender för molnet Apps din ServiceNow-miljö

Som en stor CRM-molnleverantör innehåller ServiceNow stora mängder känslig information om kunder, interna processer, incidenter och rapporter i din organisation. ServiceNow är en affärskritisk app och används av personer i din organisation och av andra utanför den (till exempel partners och entreprenörer) för olika ändamål. I många fall har en stor del av dina användare som kommer åt ServiceNow låg säkerhetsmedvetenhet och kan riskera känslig information genom att oavsiktligt dela den. I andra fall kan skadliga aktörer få åtkomst till dina mest känsliga kundrelaterade tillgångar.

Genom att ansluta ServiceNow till Defender för molnet-appar får du bättre insikter om användarnas aktiviteter, ger hotidentifiering med hjälp av maskininlärningsbaserade avvikelseidentifieringar och identifieringar av informationsskydd som att identifiera när känslig kundinformation laddas upp till ServiceNow-molnet.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Huvudsakliga hot

• Komprometterade konton och insiderhot
• Dataläckage
• Otillräcklig säkerhetsmedvetenhet
• Ohanterad BYOD (Bring Your Own Device)

Så här skyddar Defender för molnet-appar din miljö

• Identifiera molnhot, komprometterade konton och skadliga insiders
• Identifiera, klassificera, märka och skydda reglerade och känsliga data som lagras i molnet
• Tillämpa DLP- och efterlevnadsprinciper för data som lagras i molnet
• Begränsa exponeringen av delade data och framtvinga samarbetsprinciper
• Använda spårningsloggen för aktiviteter för kriminaltekniska undersökningar

SaaS-säkerhetsstatushantering

Anslut ServiceNow för att automatiskt få säkerhetsrekommendationer för ServiceNow i Microsoft Secure Score.

I Säkerhetspoäng väljer du Rekommenderade åtgärder och filtrerar efter Product = ServiceNow. Rekommendationer för ServiceNow är till exempel:

• Aktivera MFA
• Aktivera det explicita roll-plugin-programmet
• Aktivera plugin-program med hög säkerhet
• Aktivera auktorisering av skriptbegäran

Mer information finns i:

• Hantering av säkerhetsstatus för SaaS-appar
• Microsoft Secure Score

Kontrollera ServiceNow med inbyggda principer och principmallar

Du kan använda följande inbyggda principmallar för att identifiera och meddela dig om potentiella hot:

Typ	Name
Inbyggd princip för avvikelseidentifiering	Aktivitet från anonyma IP-adresser Aktivitet från sällan förekommande land
Aktivitet från misstänkta IP-adresser Omöjlig resa Aktivitet som utförs av avslutad användare (kräver Microsoft Entra-ID som IdP) Flera misslyckade inloggningsförsök Identifiering av utpressningstrojaner Ovanliga aktiviteter för nedladdning av flera filer
Mall för aktivitetsprincip	Inloggning från en riskfylld IP-adress Massnedladdning av en enskild användare
Filprincipmall	Identifiera en fil som delas med en obehörig domän Identifiera en fil som delas med personliga e-postadresser Identifiera filer med PII/PCI/PHI

Mer information om hur du skapar principer finns i Skapa en princip.

Automatisera styrningskontroller

Förutom övervakning av potentiella hot kan du tillämpa och automatisera följande ServiceNow-styrningsåtgärder för att åtgärda identifierade hot:

Typ	Åtgärd
Användarstyrning	– Meddela användaren vid avisering (via Microsoft Entra-ID) – Kräv att användaren loggar in igen (via Microsoft Entra-ID) – Pausa användare (via Microsoft Entra-ID)

Mer information om hur du åtgärdar hot från appar finns i Styra anslutna appar.

Skydda ServiceNow i realtid

Läs våra metodtips för att skydda och samarbeta med externa användare och blockera och skydda nedladdning av känsliga data till ohanterade eller riskfyllda enheter.

Ansluta ServiceNow till Microsoft Defender för molnet-appar

Den här artikeln innehåller instruktioner för hur du ansluter Microsoft Defender för molnet-appar till ditt befintliga ServiceNow-konto med appanslutnings-API:et. Den här anslutningen ger dig insyn i och kontroll över ServiceNow-användning. Information om hur Defender för molnet Apps skyddar ServiceNow finns i Skydda ServiceNow.

Använd den här appanslutningsappen för att få åtkomst till SaaS SSPM-funktioner (Security Posture Management) via säkerhetskontroller som visas i Microsoft Secure Score. Läs mer.

Förutsättningar

Defender för molnet Apps stöder följande ServiceNow-versioner:

• Eureka
• Fiji
• Genève
• Helsingfors
• Istanbul
• Jakarta
• Kingston
• London
• Utah

• Madrid
• New York
• Orlando
• Paris
• Quebec
• Rom
• San Diego
• Tokyo
• Vancouver
• Washington
• Xanadu

För att kunna ansluta ServiceNow till Defender för molnet Apps måste du ha administratörsrollen och se till att ServiceNow-instansen stöder API-åtkomst.

Mer information finns i produktdokumentationen för ServiceNow.

Dricks

Vi rekommenderar att du distribuerar ServiceNow med hjälp av OAuth-apptoken, som är tillgängliga för Fuji och senare versioner. Mer information finns i relevant ServiceNow-dokumentation.

För tidigare versioner finns ett anslutningsläge för äldre versioner tillgängligt baserat på användare/lösenord. Angivet användarnamn/lösenord används endast för generering av API-token och sparas inte efter den första anslutningsprocessen.

Så här ansluter du ServiceNow till Defender för molnet-appar med OAuth

1. Logga in med ett administratörskonto till ditt ServiceNow-konto.

   Kommentar

   Angivet användarnamn/lösenord används endast för generering av API-token och sparas inte efter den första anslutningsprocessen.

2. I sökfältet Filternavigatör skriver du OAuth och väljer Programregister.

3. I menyraden Programregister väljer du Ny för att skapa en ny OAuth-profil.

4. Under Vilken typ av OAuth-program? väljer du Skapa en OAuth API-slutpunkt för externa klienter.

5. Fyll i följande fält under Programregister Ny post :

   • I Namn-fältet fyller du i namnet för den nya OAuth-profilen, till exempel CloudAppSecurity.

   • Klient-ID genereras automatiskt. Kopiera det här ID:t. Du måste klistra in det i Defender för molnet Apps för att slutföra anslutningen.

   • I fältet Klienthemlighet anger du en sträng. Om den lämnas tom genereras en slumpmässig hemlighet automatiskt. Kopiera den och spara den till senare.

   • Öka livslängden för åtkomst-token till minst 3 600.

   • Välj Skicka.

6. Uppdatera uppdateringstokens livslängd:

   1. I fönstret ServiceNow söker du efter System OAuth och väljer sedan Programregister.

   2. Välj namnet på den OAuth som definierades och ändra uppdateringstokens livslängd till 7 776 000 sekunder (90 dagar).

   3. Välj Uppdatera.

7. Upprätta en intern procedur för att säkerställa att anslutningen förblir aktiv. Ett par dagar innan den förväntade förfallotiden för uppdateringstokens livslängd. Återkalla till den gamla uppdateringstoken. Vi rekommenderar inte att du behåller gamla nycklar av säkerhetsskäl.

   1. I fönstret ServiceNow söker du efter System OAuth och väljer sedan Hantera token.

   2. Välj den gamla token i listan enligt OAuth-namnet och förfallodatumet.

   3. Välj Återkalla åtkomst > återkalla.

8. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

9. På sidan Anslutningsverktyg väljer du +Anslut en app och sedan ServiceNow.

   

10. I nästa fönster ger du anslutningen ett namn och väljer Nästa.

11. På sidan Ange information väljer du Anslut med OAuth-token (rekommenderas). Välj Nästa.

12. På sidan Grundläggande information lägger du till ditt ServiceNow-användar-ID, lösenord och instans-URL i lämpliga rutor. Välj Nästa.

    

    • Om du vill hitta ditt ServiceNow-användar-ID går du till ServiceNow-portalen, går till Användare och letar upp ditt namn i tabellen.

      

13. På sidan OAuth-information anger du ditt klient-ID och klienthemlighet. Välj Nästa.

14. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningsappen är Ansluten.

När du har anslutit ServiceNow får du händelser i sju dagar före anslutningen.

Äldre ServiceNow-anslutning

Om du vill ansluta ServiceNow till Defender för molnet Apps måste du ha behörigheter på administratörsnivå och se till att ServiceNow-instansen stöder API-åtkomst.

1. Logga in med ett administratörskonto till ditt ServiceNow-konto.

2. Skapa ett nytt tjänstkonto för Defender för molnet-appar och koppla administratörsrollen till det nyligen skapade kontot.

3. Kontrollera att plugin-programmet för REST-API:et är aktiverat.

   

4. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram.

5. På sidan Anslutningsverktyg väljer du +Anslut en app och sedan ServiceNow.

   

6. I nästa fönster ger du anslutningen ett namn och väljer Nästa.

7. På sidan Ange information väljer du Anslut endast med användarnamn och lösenord. Välj Nästa.

8. På sidan Grundläggande information lägger du till ditt ServiceNow-användar-ID, lösenord och instans-URL i lämpliga rutor. Välj Nästa.

   

9. Välj Anslut.

10. I Microsoft Defender-portalen väljer du Inställningar. Välj sedan Cloud Apps. Under Anslutna appar väljer du Appanslutningsprogram. Kontrollera att statusen för den anslutna appanslutningsappen är Ansluten. När du har anslutit ServiceNow får du händelser i sju dagar före anslutningen.

Om du har problem med att ansluta appen kan du läsa Felsöka appanslutningsprogram.

Nästa steg

Kontrollera molnappar med principer

Om du stöter på problem är vi här för att hjälpa till. Om du vill få hjälp eller support för ditt produktproblem öppnar du ett supportärende.