Как Defender for Cloud Apps помогает защитить среду ServiceNow

Как крупный поставщик облачных решений CRM, ServiceNow включает в себя большие объемы конфиденциальной информации о клиентах, внутренних процессах, инцидентах и отчетах внутри организации. Будучи критически важным для бизнеса приложением, ServiceNow получает доступ и используется сотрудниками вашей организации и другими пользователями за ее пределами (например, партнерами и подрядчиками) для различных целей. Во многих случаях большая часть пользователей, обращаюющихся к ServiceNow, имеет низкую осведомленность о безопасности и может привести к риску конфиденциальной информации, непреднамеренно предоставляя конфиденциальные данные. В других случаях злоумышленники могут получить доступ к наиболее конфиденциальным ресурсам, связанным с клиентом.

Подключение ServiceNow к Defender for Cloud Apps улучшает аналитические сведения о действиях пользователей. Это также помогает обнаруживать угрозы с помощью обнаружения аномалий машинного обучения и защиты информации, например при передаче конфиденциальных данных клиентов в ServiceNow.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Основные угрозы

Подключение ServiceNow к Defender for Cloud Apps помогает устранить следующие угрозы:

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточная осведомленность о безопасности
  • Неуправляемый перенос собственного устройства (BYOD)

Как Defender for Cloud Apps помогает защитить среду

Defender for Cloud Apps помогает защитить среду ServiceNow следующими способами:

Управление безопасностью SaaS для ServiceNow

Подключите ServiceNow, чтобы автоматически получать рекомендации по безопасности для ServiceNow в Оценка безопасности (Майкрософт).

В разделе Оценка безопасности выберите Рекомендуемые действия и отфильтруйте по Product = ServiceNow. Например, рекомендации для ServiceNow:

  • Включение MFA
  • Активируйте плагин явной роли
  • Включить плагин повышенной безопасности
  • Включение авторизации запроса скрипта

Дополнительные сведения см. в разделе:

Управление ServiceNow с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Important

Политики файлов удаляются 6 января 2027 г. Чтобы обеспечить защиту данных на основе файлов для этого приложения, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.

Тип Имя
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Активность из необычной страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное удалённым пользователем (требуется Microsoft Entra ID как поставщик удостоверений)
Многократные неудачные попытки входа.
Обнаружение программ-шантажистов
Необычные действия по скачиванию нескольких файлов
Шаблон политики действий Вход с опасного IP-адреса
Массовое скачивание одним пользователем
Шаблон политики файлов Обнаружить файл, к которому предоставлен общий доступ для несанкционированного домена
Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты
Обнаружение файлов с помощью PII,PCI/PHI

Дополнительные сведения о создании политик см. в разделе Создание политики.

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению ServiceNow для устранения обнаруженных угроз. Эти действия выполняются с помощью Microsoft Entra ID облачной службы удостоверений Microsoft:

Тип Действие
Управление пользователями — уведомлять пользователя при предупреждении (через Microsoft Entra ID)
— требовать от пользователя повторного входа (через Microsoft Entra ID).
— Приостановить пользователя (через Microsoft Entra ID)

Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.

Защита ServiceNow в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

Подключение ServiceNow к Microsoft Defender for Cloud Apps

В следующем разделе приведены инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи ServiceNow с помощью API соединителя приложений. Соединитель приложений ServiceNow позволяет просматривать и контролировать использование ServiceNow. Сведения о том, как Defender for Cloud Apps защищает ServiceNow, см. в разделе Защита ServiceNow.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Предварительные условия

  • Чтобы подключить ServiceNow к Defender for Cloud Apps, выполните
  • Экземпляр ServiceNow должен поддерживать доступ к API.
  • У вас должна быть роль администратора.
  • Учетная запись администратора, используемая для подключения, должна иметь разрешения на использование API.

Defender for Cloud Apps поддерживает следующие версии ServiceNow:

  • Эврика
  • Фиджи
  • Женева
  • Хельсинки
  • Стамбул
  • Джакарта
  • Кингстон
  • Лондон
  • Мадрид
  • Нью-Йорк
  • Орландо
  • Париж
  • Квебек
  • Рим
  • Сан-Диего
  • Токио
  • Юта
  • Ванкувер
  • Вашингтон
  • Xanadu
  • Иокогама
  • Цюрих

Дополнительные сведения см. в документации по приложениям ServiceNow OAuth.

Совет

Мы рекомендуем развертывать ServiceNow с помощью токенов приложения OAuth, доступных в версии Fuji и более поздних выпусках. Дополнительные сведения см. в разделе "Настройка приложений OAuth" в ServiceNow.

В более ранних выпусках используется устаревший режим подключения , в котором используются имена пользователей и пароли. Указанные имя пользователя и пароль используются только для создания маркеров API и не сохраняются после первоначального подключения.

Подключение ServiceNow к Defender for Cloud Apps с помощью OAuth

Выполните следующие действия, чтобы создать профиль OAuth в ServiceNow и подключить его к Defender for Cloud Apps:

  1. Войдите с помощью учетной записи Администратор в учетную запись ServiceNow.

    Примечание.

    В более ранних выпусках доступен устаревший режим подключения на основе пользователя или пароля. Указанные имя пользователя и пароль используются только для создания маркера API и не сохраняются после первоначального процесса подключения.

  2. Создайте профиль OAuth, а затем выберите Создать конечную точку API OAuth для внешних клиентов.

  3. Заполните следующие поля Новая запись реестра приложений:

    1. Введите имя профиля OAuth, например CloudAppSecurity.

    2. Скопируйте идентификатор клиента. Он потребуется позже.

    3. В поле Секрет клиента введите строку. Если оставить пустым, случайный секрет создается автоматически. Скопируйте и сохраните его для последующего использования.

    4. Увеличьте срок жизни маркера доступа до по крайней мере 3600.

  4. Выберите имя определенного OAuth и измените срок действия маркера обновления на 7 776 000 секунд (90 дней).

  5. Установите внутреннюю процедуру, чтобы убедиться, что подключение остается активным.

    1. Перед ожидаемым истечением срока действия маркера обновления обязательно отмените старый маркер обновления.
    2. На портале Microsoft Defender измените существующий соединитель, используя тот же идентификатор клиента и секрет клиента. При этом будет создан новый маркер обновления.

    Примечание.

    Это повторяющийся процесс каждые 90 дней. Без этого подключение ServiceNow перестанет работать.

Подключение ServiceNow к Microsoft Defender for Cloud Apps

Чтобы завершить подключение на портале Microsoft Defender, выполните следующие действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений выберите +Подключить приложение, а затем — ServiceNow.

    Снимок экрана, на котором показано, где найти соединитель ServiceNow на портале Defender.

  3. В следующем окне присвойте соединению имя и нажмите кнопку Далее.

  4. На странице Ввод сведений выберите Подключиться с помощью маркера OAuth (рекомендуется). Нажмите кнопку Далее.

    Снимок экрана: диалоговое окно сведений о соединителе приложений ServiceNow.

  5. Чтобы найти идентификатор пользователя ServiceNow, на портале ServiceNow перейдите в раздел Пользователи и найдите свое имя в таблице.

  6. На странице OAuth Details (Сведения oAuth) введите идентификатор клиента и секрет клиента. Нажмите кнопку Далее.

  7. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

После подключения ServiceNow вы будете получать события за 1 час до подключения.

Устаревшее подключение ServiceNow

Чтобы подключить ServiceNow к Defender for Cloud Apps, необходимо иметь разрешения уровня администратора и убедиться, что экземпляр ServiceNow поддерживает доступ к API.

  1. Войдите с помощью учетной записи Администратор в учетную запись ServiceNow.

  2. Создайте новую учетную запись службы для Defender for Cloud Apps и присоедините роль Администратор к созданной учетной записи.

  3. Убедитесь, что подключаемый модуль REST API включен.

Дальнейшие действия