Defender for Cloud Apps が ServiceNow 環境の保護に役立つしくみ

ServiceNow は、大手の CRM クラウド プロバイダーとして、顧客、内部プロセス、インシデント、組織内のレポートに関する大量の機密情報を組み込んでいます。 ビジネスに不可欠なアプリである ServiceNow は、組織内のユーザーや、組織内外の他のユーザー (パートナーや請負業者など) によってさまざまな目的でアクセスされ、使用されます。 多くの場合、ServiceNow にアクセスするユーザーのほとんどはセキュリティに対する意識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他のインスタンスでは、悪意のあるアクターが最も機密性の高い顧客関連の資産にアクセスする可能性があります。

ServiceNow を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関するより深い分析情報が得られ、機械学習ベースの異常検出を使用した脅威検出、顧客の機密情報が ServiceNow クラウドにアップロードされたことの特定などの情報保護検出を行えるようになります。

このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。

主な脅威

  • 侵害されたアカウントと内部関係者による脅威
  • データ漏えい
  • セキュリティに対する認識不足
  • 管理されていない個人のデバイスの持ち込み (BYOD)

環境を保護する場合の Defender for Cloud Apps の利点

SaaS セキュリティ態勢管理

ServiceNow を接続して、Microsoft セキュア スコアで ServiceNow のセキュリティに関する推奨事項を自動的に取得します。

Secure Score で、[推奨アクション] を選択し、[製品] = [ServiceNow] でフィルター処理します。 たとえば、ServiceNow の推奨事項には次のものがあります。

  • MFA を有効にする
  • 明示的な役割 プラグインをアクティブ化する
  • 高セキュリティ プラグインを有効にする
  • スクリプト要求認可有効にする

詳細については、以下を参照してください:

組み込みのポリシーとポリシー テンプレートで ServiceNow を制御する

次の組み込みのポリシー テンプレートを使用すると、潜在的な脅威を検出して通知することができます。

Type Name
組み込みの異常検出ポリシー 匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
不審な IP アドレスからのアクティビティ
あり得ない移動
終了させられたユーザーによって実行されたアクティビティ (IdP として Microsoft Entra ID が必要)
複数回失敗したログイン試行
ランサムウェアの検出
複数回にわたる異常なファイル ダウンロード アクティビティ
アクティビティ ポリシー テンプレート Logon from a risky IP address (危険な IP アドレスからのログオン)
Mass download by a single user (1 人のユーザーによる大量ダウンロード)
ファイル ポリシー テンプレート 未承認のドメインと共有されているファイルの検出
個人の電子メール アドレスで共有されたファイルの検出
PII/PCI/PHI を含むファイルの検出

ポリシーの作成の詳細については、「ポリシーの作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威を監視することに加えて、以下の ServiceNow ガバナンス アクションを適用および自動化して、検出された脅威を修復することができます。

Type アクション
ユーザー ガバナンス - アラートをユーザーに通知する (Microsoft Entra ID 経由)
- ユーザーにもう一度ログインするよう要求する (Microsoft Entra ID 経由)
- ユーザーを一時停止する (Microsoft Entra ID 経由)

アプリからの脅威の修復の詳細については、「接続されているアプリを管理する」を参照してください。

ServiceNow をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業 し、 管理されていない、またはリスクの高いデバイスへの機密データのダウンロードをブロックおよび保護するための、ベスト プラクティスを参照してください。

ServiceNow を Microsoft Defender for Cloud Apps に接続する

この記事では、アプリ コネクタ API を使用して、Microsoft Defender for Cloud Apps を既存の ServiceNow アカウントに接続する方法を示します。 この接続により、ServiceNow の使用状況を視覚化して制御できるようになります。 Defender for Cloud Apps での ServiceNow の保護方法の詳細については、ServiceNow の保護に関する記事を参照してください。

このアプリ コネクタを使用することで、Microsoft Secure Score に反映されたセキュリティ コントロールを使用して SaaS セキュリティ体制管理 (SSPM) 機能にアクセスすることができます。 詳細情報。

前提条件

Defender for Cloud Apps は、以下の ServiceNow バージョンをサポートします。

  • Eureka
  • フィジー
  • ジュネーブ
  • Helsinki
  • イスタンブール
  • ジャカルタ
  • Kingston
  • London
  • ユタ
  • マドリッド
  • ニューヨーク
  • Orlando
  • Paris
  • ケベック
  • Rome
  • サンディエゴ
  • 東京
  • Vancouver
  • ワシントン
  • Xanadu

ServiceNow を Defender for Cloud Apps に接続するには、管理者ロールが必要であるほか、ServiceNow インスタンスが API アクセスをサポートしていることを確認する必要があります。

詳細については、ServiceNow の製品ドキュメントを参照してください。

ヒント

Fuji 以降のリリースで使用可能な OAuth アプリ トークンを使用して ServiceNow を展開することをお勧めします。 詳細については、「ServiceNow 製品ドキュメント」を参照してください。

以前のリリースの場合は、レガシー接続モードがユーザー/パスワードに基づいて使用可能です。 指定したユーザー名/パスワードは、API トークンの生成にのみ使用され、最初の接続処理後に保存されません。

OAuth を使用して ServiceNow を Defender for Cloud Apps に接続する方法

  1. ServiceNow アカウントに管理者アカウントでサインインします。

    Note

    指定したユーザー名/パスワードは、API トークンの生成にのみ使用され、最初の接続処理後に保存されません。

  2. [Filter navigator (フィルター ナビゲーター)] 検索バーに「OAuth」と入力し、[アプリケーション レジストリ] を選択します。

  3. アプリケーション レジストリ メニュー バーで、新規 を選択して、新しい OAuth プロファイルを作成します。

  4. [どのような OAuth アプリケーションですか?] で、[外部クライアント用の OAuth API エンドポイントを作成する] を選択します。

  5. [Application Registries New record (アプリケーション レジストリの新しいレコード)] の次のフィールドに入力します。

    • [名前] フィールドに新しい OAuth プロファイルの名前を入力します。たとえば、「CloudAppSecurity」にします。

    • [クライアント ID] は自動的に生成されます。 この ID をコピーします。接続を完了するために Defender for Cloud Apps に貼り付ける必要があります。

    • [クライアント シークレット] フィールドに文字列を入力します。 空のままにすると、無作為のシークレットが自動的に生成されます。 後で使用するためにコピーし、保存します。

    • [Access Token Lifespan (アクセス トークン有効期間)] を 3,600 以上に増やします。

    • 送信を選択します。

  6. 更新トークンの有効期間を更新します。

    1. [ServiceNow] ペインで「System OAuth」を検索し、 [Application Registry](アプリケーション登録) を選択します。

    2. 定義された OAuth の名前を選択し、 [Refresh Token Lifespan](更新トークンの有効期限)7,776,000 秒 (90 日間) に変更します。

    3. [更新] を選択します。

  7. 接続が維持されるように内部プロシージャを確立します。 想定されている更新トークンの有効期間の期限が切れる数日前。 古い更新トークンを失効させます。 セキュリティ上の理由から、古いキーを保持しないことをお勧めします。

    1. [ServiceNow] ペインで「System OAuth」を検索し、 [Manage Tokens](トークンの管理) を選択します。

    2. OAuth 名と有効期限の日付にしたがって、一覧から古いトークンを選択します。

    3. [アクセスの取り消し] > [取り消し] を選択します。

  8. Microsoft Defender ポータルで、[設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。

  9. [アプリ コネクタ] ページで、[+アプリを接続] を選択し、[ServiceNow] を選択します。

    ServiceNow を接続します。

  10. 次のウィンドウで、接続に名前を付け、[次へ] を選択します。

  11. [詳細を入力] ページで、[OAuth トークンを使用して接続する (推奨)] を選択します。 [次へ] を選択します。

  12. [Basic Details] (基本的な詳細) ページで、該当するボックスに ServiceNow のユーザー ID、パスワード、およびインスタンスの URL を追加します。 [次へ] を選択します。

    ServiceNow App Connector の詳細ダイアログのスクリーンショット。

    • ServiceNow のユーザー ID を見つけるには、ServiceNow ポータルの [ユーザー] に移動して、テーブルの自分の名前を見つけます。

      ServiceNow ユーザー ID。

  13. [OAuth の詳細] ページで、クライアント IDクライアント シークレットを入力します。 [次へ] を選択します。

  14. Microsoft Defender ポータルで、[設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。

ServiceNow を接続すると、接続までの 7 日間のイベントを受け取ります。

レガシー ServiceNow 接続

ServiceNow を Defender for Cloud Apps に接続するには、管理者レベルのアクセス許可が必要であるほか、ServiceNow インスタンスによって API アクセスがサポートされていることを確認する必要があります。

  1. ServiceNow アカウントに管理者アカウントでサインインします。

  2. Defender for Cloud Apps 用の新しいサービス アカウントを作成し、その新しく作成したアカウントに管理者ロールを付与します。

  3. REST API のプラグインが有効になっていることを確認します。

    ServiceNow アカウント。

  4. Microsoft Defender ポータルで、[設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。

  5. [アプリ コネクタ] ページで、[+アプリを接続] を選択し、[ServiceNow] を選択します。

    ServiceNow を接続します。

  6. 次のウィンドウで、接続に名前を付け、[次へ] を選択します。

  7. [詳細を入力] ページで、[Connect using username and password only] (ユーザー名とパスワードのみを使用して接続する) を選択します。 [次へ] を選択します。

  8. [Basic Details] (基本的な詳細) ページで、該当するボックスに ServiceNow のユーザー ID、パスワード、およびインスタンスの URL を追加します。 [次へ] を選択します。

    ServiceNow のパスワードの更新。

  9. [接続] を選択します。

  10. Microsoft Defender ポータルで、[設定] を選択します。 次に、 [クラウド アプリ]を選択します。 [接続アプリ] で、[アプリ コネクタ] を選択します。 接続されているアプリ コネクタの状態が [接続済み] になっていることを確認します。 ServiceNow を接続すると、接続までの 7 日間のイベントを受け取ります。

アプリの接続に問題がある場合は、アプリ コネクタのトラブルシューティングを参照してください。

次のステップ

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、 サポート チケットを作成してください。