適用於雲端的 Defender 應用程式如何協助保護您的 ServiceNow 環境
作為主要的 CRM 雲端提供者,ServiceNow 會納入組織中客戶、內部程式、事件和報告的大量敏感性資訊。 ServiceNow 是業務關鍵性應用程式,可供組織內部人員及其外部人員存取及使用(例如合作夥伴和承包商),以用於各種用途。 在許多情況下,大量存取 ServiceNow 的使用者對安全性有低的認識,而且可能會不小心共享機密資訊而面臨風險。 在其他情況下,惡意執行者可能會存取您最敏感的客戶相關資產。
將 ServiceNow 連線到 適用於雲端的 Defender Apps 可讓您改善用戶活動的深入解析、使用機器學習型異常偵測提供威脅偵測,以及資訊保護偵測,例如識別敏感性客戶資訊上傳至 ServiceNow 雲端時。
使用此應用程式連接器可透過Microsoft安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
主要威脅
- 遭入侵的帳戶和內部威脅
- 資料外洩
- 安全性感知不足
- 非受控攜帶您自己的裝置 (BYOD)
適用於雲端的 Defender 應用程式如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的受管制和敏感數據
- 針對儲存在雲端中的數據強制執行 DLP 和合規性原則
- 限制共享數據的暴露,並強制執行共同作業原則
- 使用活動的稽核線索進行鑑識調查
SaaS 安全性狀態管理
聯機 ServiceNow 以在 Microsoft 安全分數中自動取得 ServiceNow 的安全性建議。
在 [安全分數] 中,選取 [建議動作],然後依 [產品 = 服務][套用]。 例如,ServiceNow 的建議包括:
- 啟用 MFA
- 啟用明確角色外掛程式
- 啟用高安全性外掛程式
- 啟用腳本要求授權
如需詳細資訊,請參閱
使用內建原則和原則範本控制 ServiceNow
您可以使用下列內建原則範本來偵測並通知您潛在威脅:
| 類型 | 名稱 |
|---|---|
| 內建異常偵測原則 | 匿名 IP 位址的活動 非經常性國家/地區的活動 |
| 可疑 IP 位址的活動 不可能的移動 由終止使用者 執行的活動(需要Microsoft Entra ID 作為 IdP) 多次失敗的登入嘗試 勒索軟體偵測 不尋常的多個檔案下載活動 |
|
| 活動原則範本 | 從有風險的 IP 位址登入 單一使用者大量下載 |
| 檔案原則範本 | 偵測與未經授權的網域共用的檔案 偵測與個人電子郵件地址共用的檔案 使用 PII/PCI/PHI 偵測檔案 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化治理控制件
除了監視潛在威脅之外,您還可以套用並自動化下列 ServiceNow 治理動作來補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 使用者治理 | - 透過Microsoft Entra ID 通知使用者 - 要求使用者再次登入 (透過 Microsoft Entra ID) - 暫停使用者 (透過 Microsoft Entra ID) |
如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式。
實時保護 ServiceNow
檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置。
將 ServiceNow 連線到 適用於雲端的 Microsoft Defender Apps
本文提供使用應用程式連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 ServiceNow 帳戶的指示。 此連線可讓您檢視及控制 ServiceNow 的使用。 如需 適用於雲端的 Defender 應用程式如何保護 ServiceNow 的資訊,請參閱保護 ServiceNow。
使用此應用程式連接器可透過Microsoft安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
必要條件
適用於雲端的 Defender Apps 支援下列 ServiceNow 版本:
- 尤里卡
- 斐濟
- 日內瓦
- 赫爾辛基
- Istanbul
- 雅加達
- Kingston
- London
- Utah
- 馬德里
- 紐約
- Orlando
- 巴黎
- 魁北克
- 羅馬 (英文)
- San Diego
- 東京
- Vancouver
- 華盛頓州
- 世外桃源
若要將 ServiceNow 與 適用於雲端的 Defender Apps 連線,您必須具備管理員角色,並確定 ServiceNow 實例支援 API 存取。
如需詳細資訊,請參閱 ServiceNow 產品檔。
提示
我們建議使用 OAuth 應用程式令牌部署 ServiceNow,以供 Fuji 和更新版本使用。 如需詳細資訊,請參閱相關的 ServiceNow 檔。
針對舊版,則會根據使用者/密碼提供舊版連線模式。 提供的使用者名稱/密碼僅用於 API 權杖產生,而不會在初始連線程序之後儲存。
如何使用 OAuth 將 ServiceNow 連線到 適用於雲端的 Defender 應用程式
使用系統管理員帳戶登入您的 ServiceNow 帳戶。
注意
提供的使用者名稱/密碼僅用於 API 權杖產生,而不會在初始連線程序之後儲存。
在 [Filter navigator]\(篩選導覽) 搜尋列中,鍵入 OAuth 並選取 [Application Registry]\(應用程式登錄)。
在 [ 應用程式登錄] 功能表欄中,選取 [ 新增 ] 以建立新的 OAuth 配置檔。
在 [哪種 OAuth 應用程式?] 底下,選取 [為外部用戶端建立 OAuth API 端點]。
在 [Application Registry 新增記錄] 下填入下列欄位︰
[名稱] 欄位中請填入新的 OAuth 設定檔名稱,例如 CloudAppSecurity。
[用戶端識別碼] 會自動產生。 複製此識別碼,您必須將它貼到 適用於雲端的 Defender Apps 中,才能完成連線。
在 [Client Secret]\(用戶端密碼) 欄位中輸入字串。 如果保留空白,則會自動產生隨機祕密。 複製並儲存以供稍後使用。
將 [Access Token Lifespan]\(存取權杖使用時間) 增加到至少 3,600。
選取 [提交]。
更新重新整理權杖的存留期:
在 [ServiceNow] 窗格中,搜尋 [系統 OAuth],然後選取 [應用程式登錄]。
選取已定義的 OAuth 名稱,並將 [重新整理權杖存留期] 變更為 7,776,000 秒 (90 天)。
選取更新。
建立內部程序以確保連線保持運作。 在重新整理令牌生命週期的預期到期前幾天。 撤銷舊的重新整理權杖。 基於安全性考量,不建議保留舊金鑰。
在 [ServiceNow] 窗格中,搜尋 系統 OAuth,然後選取 [管理權杖]。
根據 OAuth 名稱和到期日,從清單中選取舊的權杖。
選取 [撤銷存取 > 撤銷]。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [已連線的應用程式] 下,選取 [應用程式連接器]。
在 [應用程式連線程式] 頁面中,選取 [+連線應用程式],然後選取 [ServiceNow]。
在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。
在 [輸入詳細數據] 頁面中,選取 [使用 OAuth 令牌連線] [建議]。 選取 [下一步]。
在 [ 基本詳細數據] 頁面中,於適當的方塊中新增您的 ServiceNow 使用者標識碼、密碼和實例 URL。 選取 [下一步]。
若要尋找您的 ServiceNow 使用者識別碼,請在 ServiceNow 入口網站中,移至 [使用者],然後在資料表中找出您的名稱。
在 [ OAuth 詳細數據] 頁面中,輸入您的 用戶端識別碼 和 客戶端密碼。 選取 [下一步]。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [已連線的應用程式] 下,選取 [應用程式連接器]。 請確定已連線應用程式連接器的狀態為 [已連線]。
聯機 ServiceNow 之後,您會收到連線前七天的事件。
舊版 ServiceNow 連線
若要將 ServiceNow 與 適用於雲端的 Defender Apps 連線,您必須具有系統管理員層級的許可權,並確定 ServiceNow 實例支援 API 存取。
使用系統管理員帳戶登入您的 ServiceNow 帳戶。
為 適用於雲端的 Defender Apps 建立新的服務帳戶,並將系統管理員角色附加至新建立的帳戶。
確定已開啟 REST API 外掛程式。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [已連線的應用程式] 下,選取 [應用程式連接器]。
在 [應用程式連線程式] 頁面中,選取 [+連線應用程式],然後選取 [ServiceNow]。
在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。
在 [ 輸入詳細數據] 頁面中,選取 [僅使用使用者名稱和密碼連線]。 選取 [下一步]。
在 [ 基本詳細數據] 頁面中,於適當的方塊中新增您的 ServiceNow 使用者標識碼、密碼和實例 URL。 選取 [下一步]。
選取 Connect。
在 Microsoft Defender 入口網站中,選取 [ 設定]。 然後選擇 [ 雲端應用程式]。 在 [已連線的應用程式] 下,選取 [應用程式連接器]。 請確定已連線應用程式連接器的狀態為 [已連線]。 聯機 ServiceNow 之後,您會收到連線前七天的事件。
如果您在連線應用程式時發生任何問題,請參閱 針對應用程式連接器進行疑難解答。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。