Come Defender per il cloud App consente di proteggere l'ambiente ServiceNow

In qualità di principale provider di servizi cloud CRM, ServiceNow incorpora grandi quantità di informazioni riservate su clienti, processi interni, eventi imprevisti e report all'interno dell'organizzazione. Essendo un'app business critical, ServiceNow è accessibile e usato dalle persone all'interno dell'organizzazione e da altri utenti esterni (ad esempio partner e terzisti) per vari scopi. In molti casi, una gran parte degli utenti che accedono a ServiceNow ha una scarsa consapevolezza della sicurezza e potrebbe mettere a rischio le informazioni sensibili condividendole involontariamente. In altri casi, gli attori malintenzionati possono accedere agli asset più sensibili correlati ai clienti.

La connessione di ServiceNow alle app di Defender per il cloud offre informazioni dettagliate migliorate sulle attività degli utenti, fornisce il rilevamento delle minacce usando rilevamenti anomalie basati su Machine Learning e rilevamenti di protezione delle informazioni, ad esempio l'identificazione quando le informazioni riservate dei clienti vengono caricate nel cloud ServiceNow.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Principali minacce

  • Account compromessi e minacce interne
  • Perdita di dati
  • Consapevolezza della sicurezza insufficiente
  • Unmanaged Bring Your Own Device (BYOD)

Come le app Defender per il cloud aiutano a proteggere l'ambiente

Gestione del comportamento di sicurezza SaaS

Connettere ServiceNow per ottenere automaticamente raccomandazioni sulla sicurezza per ServiceNow in Microsoft Secure Score.

In Secure Score selezionare Azioni consigliate e filtrare in base a Product = ServiceNow. Ad esempio, le raccomandazioni per ServiceNow includono:

  • Abilitare MFA
  • Attivare il plug-in di ruolo esplicito
  • Abilitare il plug-in ad alta sicurezza
  • Abilitare l'autorizzazione della richiesta di script

Per altre informazioni, vedi:

Controllare ServiceNow con criteri e modelli di criteri predefiniti

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e notificare potenziali minacce:

Type Nome
Criteri di rilevamento anomalie predefiniti Attività da indirizzi IP anonimi
Attività da un paese non frequente
Attività da indirizzi IP sospetti
Comunicazione impossibile
Attività eseguita dall'utente terminato (richiede Microsoft Entra ID come IdP)
Più tentativi di accesso non riusciti
Rilevamento ransomware
Attività insolite di download di più file
Modello di criteri attività Logon from a risky IP address (Accesso da indirizzo IP rischioso)
Mass download by a single user (Download di massa da un singolo utente)
Modello di criteri file Rilevare un file condiviso con un dominio non autorizzato
Rilevare un file condiviso con indirizzi di posta elettronica personali
Rilevare i file con PII/PCI/PHI

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzare i controlli di governance

Oltre al monitoraggio delle potenziali minacce, è possibile applicare e automatizzare le azioni di governance di ServiceNow seguenti per correggere le minacce rilevate:

Type Azione
Governance dell'utente - Notifica all'utente all'avviso (tramite Microsoft Entra ID)
- Richiedi all'utente di accedere di nuovo (tramite Microsoft Entra ID)
- Sospendere l'utente (tramite Microsoft Entra ID)

Per altre informazioni sulla correzione delle minacce dalle app, vedere Governance delle app connesse.

Proteggere ServiceNow in tempo reale

Esaminare le procedure consigliate per proteggere e collaborare con utenti esterni e bloccare e proteggere il download di dati sensibili in dispositivi non gestiti o rischiosi.

Connettere ServiceNow alle app Microsoft Defender per il cloud

Questo articolo fornisce istruzioni per la connessione di app Microsoft Defender per il cloud all'account ServiceNow esistente usando l'API del connettore di app. Questa connessione offre visibilità e controllo sull'utilizzo di ServiceNow. Per informazioni su come le app Defender per il cloud proteggono ServiceNow, vedere Proteggere ServiceNow.

Usare questo connettore di app per accedere alle funzionalità di SSPM (Security Posture Management) SaaS, tramite controlli di sicurezza riflessi in Microsoft Secure Score. Altre informazioni.

Prerequisiti

Defender per il cloud Apps supporta le versioni di ServiceNow seguenti:

  • Eureka
  • Figi
  • Ginevra
  • Helsinki
  • Istanbul
  • Jakarta
  • Kingston
  • Londra
  • Utah
  • Madrid
  • New York
  • Orlando
  • Parigi
  • Quebec
  • Rome
  • San Diego
  • Tokyo
  • Vancouver
  • Washington
  • Xanadu

Per connettere ServiceNow alle app di Defender per il cloud, è necessario avere il ruolo di amministratore e assicurarsi che l'istanza di ServiceNow supporti l'accesso all'API.

Per altre informazioni, vedere la documentazione del prodotto ServiceNow.

Suggerimento

È consigliabile distribuire ServiceNow usando i token dell'app OAuth, disponibili per Fuji e versioni successive. Per altre informazioni, vedere la documentazione pertinente di ServiceNow.

Per le versioni precedenti, è disponibile una modalità di connessione legacy basata su utente/password. Il nome utente e la password specificati vengono usati solo per la generazione del token API e non vengono salvati dopo il processo di connessione iniziale.

Come connettere ServiceNow alle app Defender per il cloud tramite OAuth

  1. Accedere a ServiceNow con un account amministratore.

    Nota

    Il nome utente e la password specificati vengono usati solo per la generazione del token API e non vengono salvati dopo il processo di connessione iniziale.

  2. Nella barra di ricerca Filter navigator (Selezione filtro) digitare OAuth e selezionare Application Registry (Registro applicazioni).

  3. Nella barra dei menu Registri applicazioni selezionare Nuovo per creare un nuovo profilo OAuth.

  4. In Che tipo di applicazione OAuth selezionare Crea un endpoint API OAuth per i client esterni.

  5. In Application Registries New record (Registri applicazioni Nuovo record) specificare le informazioni seguenti:

    • Nome del nuovo profilo OAuth nel campo Name (Nome), ad esempio CloudAppSecurity.

    • Il valore di Client ID (ID client) viene generato automaticamente. Copiare questo ID, è necessario incollarlo in Defender per il cloud App per completare la connessione.

    • Nel campo Client Secret (Segreto client) immettere una stringa. Se il campo viene lasciato vuoto, viene generato automaticamente un segreto casuale. Copiare il segreto e salvarlo per un uso successivo.

    • Aumentare il valore di Access Token Lifespan (Durata token di accesso) ad almeno 3.600.

    • Selezionare Invia.

  6. Aggiornare la durata del token di aggiornamento:

    1. Nel riquadro ServiceNow cercare System OAuth e quindi selezionare Application Registry.

    2. Selezionare il nome dell'OAuth definito e modificare la durata del token di aggiornamento in 7.776.000 secondi (90 giorni).

    3. Selezionare Aggiorna.

  7. Stabilire una procedura interna per assicurarsi che la connessione rimanga attiva. Un paio di giorni prima della scadenza prevista della durata del token di aggiornamento. Revoca al token di aggiornamento precedente. Non è consigliabile mantenere le chiavi precedenti per motivi di sicurezza.

    1. Nel riquadro ServiceNow cercare OAuth di sistema e quindi selezionare Gestisci token.

    2. Selezionare il token obsoleto dall'elenco in base al nome OAuth e alla data di scadenza.

    3. Selezionare Revoca accesso > revoca.

  8. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app.

  9. Nella pagina Connettore app selezionare +Connetti un'app e quindi ServiceNow.

    connettere ServiceNow.

  10. Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.

  11. Nella pagina Immettere i dettagli selezionare Connetti usando il token OAuth (scelta consigliata). Selezionare Avanti.

  12. Nella pagina Dettagli di base aggiungere l'ID utente, la password e l'URL dell'istanza di ServiceNow nelle caselle appropriate. Selezionare Avanti.

    Screenshot della finestra di dialogo Dettagli connettore app ServiceNow.

    • Per trovare l'ID utente ServiceNow, nel portale di ServiceNow passare a Users (Utenti) e quindi individuare il nome nella tabella.

      ID utente serviceNow.

  13. Nella pagina Dettagli OAuth immettere l'ID client e il segreto client. Selezionare Avanti.

  14. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Verificare che lo stato del connettore app connesso sia Connesso.

Dopo aver connesso ServiceNow, si riceveranno eventi per sette giorni prima della connessione.

Connessione legacy di ServiceNow

Per connettere ServiceNow alle app di Defender per il cloud, è necessario disporre delle autorizzazioni a livello di amministratore e assicurarsi che l'istanza di ServiceNow supporti l'accesso all'API.

  1. Accedere a ServiceNow con un account amministratore.

  2. Creare un nuovo account del servizio per Defender per il cloud App e collegare il ruolo di amministratore all'account appena creato.

  3. Verificare che il plug-in dell'API REST sia attivato.

    Account ServiceNow.

  4. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app.

  5. Nella pagina Connettore app selezionare +Connetti un'app e quindi ServiceNow.

    connettere ServiceNow.

  6. Nella finestra successiva assegnare un nome alla connessione e selezionare Avanti.

  7. Nella pagina Immettere i dettagli selezionare Connetti usando solo nome utente e password. Selezionare Avanti.

  8. Nella pagina Dettagli di base aggiungere l'ID utente, la password e l'URL dell'istanza di ServiceNow nelle caselle appropriate. Selezionare Avanti.

    Password di aggiornamento di ServiceNow.

  9. Selezionare Connetti.

  10. Nel portale di Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse selezionare Connettori app. Verificare che lo stato del connettore app connesso sia Connesso. Dopo aver connesso ServiceNow, si riceveranno eventi per sette giorni prima della connessione.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori app.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutare. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.