適用於雲端的 Defender 應用程式如何協助保護您的 ServiceNow 環境
作為主要的 CRM 雲端提供者,ServiceNow 會納入組織中客戶、內部程式、事件和報告的大量敏感性資訊。 ServiceNow 是業務關鍵性應用程式,可供組織內部人員及其外部人員存取及使用(例如合作夥伴和承包商),以用於各種用途。 在許多情況下,大量存取 ServiceNow 的使用者對安全性有低的認識,而且可能會不小心共享機密資訊而面臨風險。 在其他情況下,惡意執行者可能會存取您最敏感的客戶相關資產。
連線 ServiceNow 至 適用於雲端的 Defender Apps 可讓您改善使用者活動的見解、使用機器學習型異常偵測提供威脅偵測,以及資訊保護偵測,例如識別敏感性客戶資訊上傳至 ServiceNow 雲端時。
使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
主要威脅
- 遭入侵的帳戶和內部威脅
- 數據外洩
- 安全性感知不足
- 非受控攜帶您自己的裝置 (BYOD)
適用於雲端的 Defender 應用程式如何協助保護您的環境
- 偵測雲端威脅、遭入侵的帳戶和惡意測試人員
- 探索、分類、標記和保護儲存在雲端中的受管制和敏感數據
- 針對儲存在雲端中的數據強制執行 DLP 和合規性原則
- 限制共享數據的暴露,並強制執行共同作業原則
- 使用活動的稽核線索進行鑑識調查
SaaS 安全性狀態管理
連線 ServiceNow,以在 Microsoft 安全分數中自動取得 ServiceNow 的安全性建議。
在 [安全分數] 中,選取 [建議動作],然後依 [產品 = 服務][套用]。 例如,ServiceNow 的建議包括:
- 啟用 MFA
- 啟用明確角色外掛程式
- 啟用高安全性外掛程式
- 啟用腳本要求授權
如需詳細資訊,請參閱
使用內建原則和原則範本控制 ServiceNow
您可以使用下列內建原則範本來偵測並通知您潛在威脅:
| 類型 | 名稱 |
|---|---|
| 內建異常偵測原則 | 匿名 IP 位址的活動 非經常性國家/地區的活動 可疑 IP 位址的活動 不可能的移動 由終止使用者 執行的活動(需要 Microsoft Entra ID 作為 IdP) 多次失敗的登入嘗試 勒索軟體偵測 不尋常的多個檔案下載活動 |
| 活動原則範本 | 從有風險的 IP 位址登入 單一使用者大量下載 |
| 檔案原則範本 | 偵測與未經授權的網域共用的檔案 偵測與個人電子郵件地址共用的檔案 使用 PII/PCI/PHI 偵測檔案 |
如需建立原則的詳細資訊,請參閱 建立原則。
自動化治理控制件
除了監視潛在威脅之外,您還可以套用並自動化下列 ServiceNow 治理動作來補救偵測到的威脅:
| 類型 | 動作 |
|---|---|
| 使用者治理 | - 透過 Microsoft Entra ID 通知使用者警示 - 要求使用者再次登入 (透過 Microsoft Entra ID) - 暫停使用者 (透過 Microsoft Entra ID) |
如需從應用程式補救威脅的詳細資訊,請參閱 治理已連線的應用程式。
實時保護 ServiceNow
檢閱我們的最佳做法,以 保護與外部使用者 共同作業,並 封鎖和保護敏感數據下載至非受控或具風險的裝置。
連線 ServiceNow 至 適用於雲端的 Microsoft Defender Apps
本文提供使用應用程式連接器 API 將 適用於雲端的 Microsoft Defender Apps 連線到現有 ServiceNow 帳戶的指示。 此連線可讓您檢視及控制 ServiceNow 的使用。 如需 適用於雲端的 Defender 應用程式如何保護 ServiceNow 的資訊,請參閱保護 ServiceNow。
使用此應用程式連接器可透過 Microsoft 安全分數中反映的安全性控制,存取 SaaS 安全性狀態管理 (SSPM) 功能。 深入了解。
必要條件
適用於雲端的 Defender Apps 支援下列 ServiceNow 版本:
- 尤里卡
- 斐濟
- 日內瓦
- 赫爾辛基
- 伊斯坦布爾
- 雅加達
- 金士頓
- London
- 猶他州
- 馬德里
- 紐約
- Orlando
- Paris
- 魁北克省
- 羅馬
- San Diego
- 東京
- Vancouver
若要將 ServiceNow 與 適用於雲端的 Defender Apps 連線,您必須具有 管理員 角色,並確定 ServiceNow 實例支援 API 存取。
如需詳細資訊,請參閱 ServiceNow 產品檔。
提示
我們建議使用 OAuth 應用程式令牌部署 ServiceNow,以供 Fuji 和更新版本使用。 如需詳細資訊,請參閱相關的 ServiceNow 檔。
針對舊版,則會根據使用者/密碼提供舊版連線模式。 提供的使用者名稱/密碼僅用於 API 權杖產生,而不會在初始連線程序之後儲存。
如何使用 OAuth 將 ServiceNow 連線到 適用於雲端的 Defender 應用程式
使用系統管理員帳戶登入您的 ServiceNow 帳戶。
注意
提供的使用者名稱/密碼僅用於 API 權杖產生,而不會在初始連線程序之後儲存。
在 [Filter navigator]\(篩選導覽) 搜尋列中,鍵入 OAuth 並選取 [Application Registry]\(應用程式登錄)。
在 [ 應用程式登錄] 功能表欄中,選取 [ 新增 ] 以建立新的 OAuth 配置檔。
在 [哪種 OAuth 應用程式?] 底下,選取 [為外部用戶端建立 OAuth API 端點]。
在 [Application Registry 新增記錄] 下填入下列欄位︰
[名稱] 欄位中請填入新的 OAuth 設定檔名稱,例如 CloudAppSecurity。
[用戶端識別碼] 會自動產生。 複製此識別碼,您必須將它貼到 適用於雲端的 Defender Apps 以完成連線。
在 [Client Secret]\(用戶端密碼) 欄位中輸入字串。 如果保留空白,則會自動產生隨機祕密。 複製並儲存以供稍後使用。
將 [Access Token Lifespan]\(存取權杖使用時間) 增加到至少 3,600。
選取 [提交]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 的應用程式] 下,選取 [應用程式 連線 者]。
在 [應用程式連線程式] 頁面中,選取 [+連線 應用程式],然後選取 [ServiceNow]。
在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。
在 [輸入詳細數據] 頁面中,選取 [使用 OAuth 令牌 連線 [建議] 。 選取 [下一步]。
在 [ 基本詳細數據] 頁面中,於適當的方塊中新增您的 ServiceNow 使用者標識碼、密碼和實例 URL。 選取 [下一步]。
若要尋找您的 ServiceNow 使用者識別碼,請在 ServiceNow 入口網站中,移至 [使用者],然後在資料表中找出您的名稱。
在 [ OAuth 詳細數據] 頁面中,輸入您的 用戶端識別碼 和 客戶端密碼。 選取 [下一步]。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [已 連線 的應用程式] 下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 or 的狀態已 連線。
聯機 ServiceNow 之後,您會收到連線前七天的事件。
舊版 ServiceNow 連線
若要將 ServiceNow 與 適用於雲端的 Defender Apps 連線,您必須具有系統管理員層級的許可權,並確定 ServiceNow 實例支援 API 存取。
使用系統管理員帳戶登入您的 ServiceNow 帳戶。
為 適用於雲端的 Defender Apps 建立新的服務帳戶,並將 管理員 角色附加至新建立的帳戶。
確定已開啟 REST API 外掛程式。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 [連線 應用程式] 底下,選取 [應用程式 連線 者]。
在 [應用程式連線程式] 頁面中,選取 [+連線 應用程式],然後選取 [ServiceNow]。
在下一個視窗中,為聯機指定名稱,然後選取 [ 下一步]。
在 [輸入詳細數據] 頁面中,選取 [僅使用使用者名稱和密碼] 連線。 選取 [下一步]。
在 [ 基本詳細數據] 頁面中,於適當的方塊中新增您的 ServiceNow 使用者標識碼、密碼和實例 URL。 選取 [下一步]。
選取 Connect。
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [ 雲端應用程式]。 在 連線 的應用程式下,選取 [應用程式 連線 者]。 請確定已連線的應用程式 連線 or 的狀態已 連線。 聯機 ServiceNow 之後,您會收到連線前七天的事件。
如果您在連線應用程式時發生任何問題,請參閱針對應用程式 連線 器進行疑難解答。
下一步
如果您遇到任何問題,我們會在這裡提供説明。 若要取得產品問題的協助或支援,請 開啟支援票證。