Защита среды ServiceNow Defender для облака Apps
В качестве крупного поставщика облачных служб CRM ServiceNow включает в себя большие объемы конфиденциальной информации о клиентах, внутренних процессах, инцидентах и отчетах в организации. Будучи критически важным для бизнеса приложением, ServiceNow получает доступ и используется людьми внутри организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях большая часть пользователей, обращаюющихся к ServiceNow, имеет низкую осведомленность о безопасности и может поставить под угрозу конфиденциальную информацию, непреднамеренно предоставив ей общий доступ. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.
Подключение ServiceNow для Defender для облака Apps предоставляет улучшенные аналитические сведения о действиях пользователей, обеспечивает обнаружение угроз с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, например, когда конфиденциальная информация клиента отправляется в облако ServiceNow.
Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.
Основные угрозы
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Недостаточно осведомленности о безопасности
- Неуправляемый перенос собственного устройства (BYOD)
Как Defender для облака Приложения помогают защитить среду
- Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
- Обнаружение, классификация, метка и защита регулируемых и конфиденциальных данных, хранящихся в облаке
- Применение политик защиты от потери данных и соответствия требованиям для данных, хранящихся в облаке
- Ограничение воздействия общих данных и применение политик совместной работы
- Использование следа аудита действий для судебно-медицинских расследований
Управление безопасностью SaaS
Подключение ServiceNow для автоматического получения рекомендаций по безопасности ServiceNow в Microsoft Secure Score.
В разделе "Оценка безопасности" выберите рекомендуемые действия и фильтруйте по Product = ServiceNow. Например, рекомендации по ServiceNow включают:
- Включение MFA
- Активация подключаемого модуля явной роли
- Включение подключаемого модуля высокой безопасности
- Включение авторизации запроса скрипта
Дополнительные сведения см. в разделе:
Управление ServiceNow со встроенными политиками и шаблонами политик
Для обнаружения и уведомления о потенциальных угрозах можно использовать следующие встроенные шаблоны политик:
| Тип | Имя. |
|---|---|
| Встроенная политика обнаружения аномалий | Действия, выполняемые с анонимных IP-адресов Действие из редко упоминаемой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполняеме завершенным пользователем (требуется идентификатор Microsoft Entra в качестве поставщика удостоверений) Множество неудачных попыток входа Обнаружение программ-шантажистов Необычные действия загрузки файлов |
| Шаблон политики действий | Вход с опасных IP-адресов Массовое скачивание одним пользователем |
| Шаблон политики файлов | Обнаружение общего файла с несанкционированным доменом Обнаружение общего файла с личными адресами электронной почты Обнаружение файлов с помощью PII/PCI/PHI |
Дополнительные сведения о создании политик см. в разделе "Создание политики".
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, можно применить и автоматизировать следующие действия управления ServiceNow для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление пользователями | — уведомлять пользователя об оповещении (с помощью идентификатора Microsoft Entra) — требовать повторного входа пользователя (с помощью идентификатора Microsoft Entra) — Приостановка пользователя (с помощью идентификатора Microsoft Entra) |
Дополнительные сведения об устранении угроз из приложений см. в разделе "Управление подключенными приложениями".
Защита ServiceNow в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями и блокировкой и защитой загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
Подключение ServiceNow для приложений Microsoft Defender для облака
В этой статье приведены инструкции по подключению Microsoft Defender для облака Apps к существующей учетной записи ServiceNow с помощью API соединителя приложений. Это подключение обеспечивает наглядность и контроль использования ServiceNow. Сведения о том, как Defender для облака Приложения защищают ServiceNow, см. в разделе Protect ServiceNow.
Используйте этот соединитель приложений для доступа к функциям управления безопасностью SaaS (SSPM), используя элементы управления безопасностью, отраженные в оценке безопасности Майкрософт. Подробнее.
Необходимые компоненты
Defender для облака Приложения поддерживают следующие версии ServiceNow:
- Эврика
- Фиджи
- Женева
- Хельсинки
- Стамбул
- Jakarta
- Кингстон
- Лондон
- Юта
- Мадрид
- Нью-Йорк
- Orlando
- Париж
- Квебек
- Рим
- Сан-Диего;
- Токио
- Ванкувер
Чтобы подключить ServiceNow к приложениям Defender для облака, необходимо иметь роль Администратор и убедиться, что экземпляр ServiceNow поддерживает доступ к API.
Дополнительные сведения см. в документации по продукту ServiceNow.
Совет
Мы рекомендуем развернуть ServiceNow с помощью токенов приложений OAuth, доступных для Fuji и более поздних выпусков. Дополнительные сведения см. в соответствующей документации ServiceNow.
Для более ранних выпусков доступен устаревший режим подключения с использованием имени пользователя и пароля. Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.
Подключение ServiceNow к приложениям Defender для облака с помощью OAuth
Войдите в учетную запись ServiceNow с учетной записи администратора.
Примечание.
Указанные имя пользователя и пароль применяются только для создания маркеров API и не сохраняются после начального процесса подключения.
В строке поиска Filter navigator (Навигатор фильтра) введите OAuth и выберите Application Registry (Реестр приложения).
В строке меню "Реестры приложений" выберите "Создать ", чтобы создать новый профиль OAuth.
В разделе "Какое приложение OAuth?", выберите "Создать конечную точку API OAuth" для внешних клиентов.
В разделе Application Registries New record (Реестры приложения: новая запись) заполните следующие поля.
В поле Name (Имя) введите имя нового профиля OAuth, например CloudAppSecurity.
Поле Client ID (Идентификатор клиента) будет заполнено автоматически. Скопируйте этот идентификатор, необходимо вставить его в Defender для облака Apps для завершения подключения.
В поле Client Secret (Секрет клиента) введите строку. Если оставить это поле пустым, будет автоматически создан случайный секрет. Скопируйте и сохраните его для последующего использования.
Увеличьте значение в поле Access Token Lifespan (Время существования токена доступа) по крайней мере до 3600.
Выберите Отправить.
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений".
На странице соединитель приложений выберите +Подключение приложение, а затем ServiceNow.
В следующем окне укажите имя подключения и нажмите кнопку "Далее".
На странице сведений о вводе выберите Подключение с помощью маркера OAuth (рекомендуется). Выберите Далее.
На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.
Чтобы найти идентификатор пользователя ServiceNow, перейдите на портале ServiceNow на вкладку Пользователи и найдите свое имя в таблице.
На странице сведений OAuth введите идентификатор клиента и секрет клиента. Выберите Далее.
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений". Убедитесь, что состояние подключенного приложения Подключение or Подключение.
После подключения ServiceNow вы получите события в течение семи дней до подключения.
Подключение к ServiceNow в устаревшем режиме
Чтобы подключить ServiceNow к приложениям Defender для облака, необходимо иметь разрешения на уровне администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.
Войдите в учетную запись ServiceNow с учетной записи администратора.
Создайте учетную запись службы для приложений Defender для облака и вложите роль Администратор в только что созданную учетную запись.
Убедитесь в том, что подключаемый модуль REST API включен.
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений".
На странице соединитель приложений выберите +Подключение приложение, а затем ServiceNow.
В следующем окне укажите имя подключения и нажмите кнопку "Далее".
На странице сведений о вводе выберите Подключение только с использованием имени пользователя и пароля. Выберите Далее.
На странице "Основные сведения" добавьте идентификатор пользователя ServiceNow, пароль и URL-адрес экземпляра в соответствующие поля. Выберите Далее.
Нажмите Подключиться.
На портале Microsoft Defender выберите Параметры. Затем выберите "Облачные приложения". В разделе Подключение приложений выберите "Подключение оры приложений". Убедитесь, что состояние подключенного приложения Подключение or Подключение. После подключения ServiceNow вы получите события в течение семи дней до подключения.
Если у вас возникли проблемы с подключением к приложению, см. статью "Устранение неполадок приложений Подключение or".
Следующие шаги
Если у вас возникли проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку проблемы с продуктом, откройте запрос в службу поддержки.