次の方法で共有

ServiceNow 環境Defender for Cloud Apps保護する方法

主要な CRM クラウド プロバイダーとして、ServiceNow には、顧客、内部プロセス、インシデント、レポートに関する大量の機密情報がorganization内に組み込まれています。 ServiceNow はビジネスに不可欠なアプリであるため、organization内のユーザー、およびその外部のユーザー (パートナーや請負業者など) によってさまざまな目的でアクセスされ、使用されます。 多くの場合、ServiceNow にアクセスするユーザーの大部分はセキュリティに対する認識が低く、意図せずに共有することで機密情報が危険にさらされる可能性があります。 他のインスタンスでは、悪意のあるアクターが最も機密性の高い顧客関連の資産にアクセスする可能性があります。

ServiceNow を Defender for Cloud Apps に接続すると、ユーザーのアクティビティに関する分析情報が向上します。 また、機械学習の異常検出と情報保護 (機密性の高い顧客データが ServiceNow にアップロードされるタイミングの識別など) を使用して脅威を検出するのにも役立ちます。

このアプリ コネクタを使用して、Microsoft Secure Score に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。

主な脅威

  • 侵害されたアカウントとインサイダーの脅威
  • データ漏洩
  • セキュリティに対する認識が不十分
  • アンマネージド Bring Your Own Device (BYOD)

Defender for Cloud Appsが環境を保護するのにどのように役立つか

SaaS セキュリティ体制管理

ServiceNow を接続 して、Microsoft Secure Score で ServiceNow のセキュリティに関する推奨事項を自動的に取得します。

[セキュリティ スコア] で [ 推奨されるアクション ] を選択し、 Product = ServiceNow でフィルター処理します。 たとえば、ServiceNow の推奨事項は次のとおりです。

  • MFA を有効にする
  • 明示的なロール プラグインをアクティブ化する
  • 高セキュリティ プラグインを有効にする
  • スクリプト要求の承認を有効にする

詳細については、以下を参照してください:

組み込みのポリシーとポリシー テンプレートを使用して ServiceNow を制御する

次の組み込みのポリシー テンプレートを使用して、潜在的な脅威を検出して通知できます。

種類 氏名
組み込みの異常検出ポリシー 匿名 IP アドレスからのアクティビティ
頻度の低い国からのアクティビティ
疑わしい IP アドレスからのアクティビティ
不可能な移動
終了したユーザーによって実行されるアクティビティ (IdP としてMicrosoft Entra IDが必要)
複数回のログイン試行の失敗
ランサムウェア検出
通常とは異なる複数のファイルダウンロード アクティビティ
アクティビティ ポリシー テンプレート 危険な IP アドレスからのログオン
1 人のユーザーによる一括ダウンロード
ファイル ポリシー テンプレート 未承認のドメインと共有されているファイルを検出する
個人用メール アドレスと共有されているファイルを検出する
PII/PCI/PHI を使用してファイルを検出する

ポリシーの作成の詳細については、「ポリシーの 作成」を参照してください。

ガバナンス制御を自動化する

潜在的な脅威の監視に加えて、次の ServiceNow ガバナンス アクションを適用して自動化して、検出された脅威を修復できます。

タイプ 操作
ユーザー ガバナンス - ユーザーにアラートを通知する (Microsoft Entra ID経由)
- ユーザーに再度サインインを要求する (Microsoft Entra ID経由)
- ユーザーを一時停止する (Microsoft Entra ID経由)

アプリからの脅威の修復の詳細については、「 接続されたアプリの管理」を参照してください。

ServiceNow をリアルタイムで保護する

外部ユーザーをセキュリティで保護して共同作業し機密データのダウンロードをアンマネージド デバイスまたは危険なデバイスにブロックして保護するためのベスト プラクティスを確認します。

ServiceNow をMicrosoft Defender for Cloud Appsに接続する

この記事では、アプリ コネクタ API を使用して既存の ServiceNow アカウントにMicrosoft Defender for Cloud Appsを接続する手順について説明します。 この接続を使用すると、ServiceNow の使用を可視化して制御できます。 ServiceNow を保護Defender for Cloud Apps方法については、「ServiceNow を保護する」を参照してください。

このアプリ コネクタを使用して、Microsoft Secure Score に反映されたセキュリティ制御を使用して SaaS セキュリティ態勢管理 (SSPM) 機能にアクセスします。 詳細情報 を参照してください。

前提条件

  • ServiceNow を Defender for Cloud Apps に接続するには、
  • ServiceNow インスタンスは API アクセスをサポートする必要があります。
  • 管理者ロールが必要です。
  • 接続を確立するために使用する管理者アカウントには、API を使用するためのアクセス許可が必要です。

Defender for Cloud Appsでは、次の ServiceNow バージョンがサポートされています。

  • ユーレカ
  • フィジー
  • ジュネーブ
  • ヘルシンキ
  • イスタンブール
  • ジャカルタ
  • キングストン
  • ロンドン
  • マドリード
  • ニューヨーク
  • オーランド
  • パリ
  • ケベック
  • ローマ
  • San Diego
  • 東京
  • ユタ 州
  • Vancouver
  • ワシントン
  • ザナドゥ
  • 横浜
  • チューリッヒ

詳細については、 ServiceNow 製品のドキュメントを参照してください

ヒント

Fuji 以降のリリースで使用できる OAuth アプリ トークンを使用して ServiceNow をデプロイすることをお勧めします。 詳細については、関連する ServiceNow ドキュメントを参照してください

以前のリリースでは、ユーザー名とパスワードを使用する レガシ接続モード が使用されています。指定されたユーザー名とパスワードは API トークンの生成にのみ使用され、初期接続プロセスの後には保存されません。

OAuth を使用して ServiceNow をDefender for Cloud Appsに接続する方法

  1. 管理 アカウントで ServiceNow アカウントにサインインします。

    注:

    以前のリリースでは、ユーザー/パスワードに基づいて レガシ接続モード を使用できます。 指定されたユーザー名/パスワードは API トークンの生成にのみ使用され、最初の接続プロセスの後には保存されません。

  2. 新しい OAuth プロファイルを作成し、[ 外部クライアント用の OAuth API エンドポイントの作成] を選択します。

  3. 次の アプリケーション レジストリの [新しいレコード ] フィールドに入力します。

    1. OAuth プロファイルの名前 (CloudAppSecurity など) を入力します。

    2. クライアント ID をコピーします。 後で必要になります。

    3. [ クライアント シークレット ] フィールドに文字列を入力します。 空のままにすると、ランダムシークレットが自動的に生成されます。 後でコピーして保存します。

    4. アクセス トークンの有効期間を少なくとも 3,600 に増やします。

  4. 定義された OAuth の名前を選択し、[ 更新トークンの有効期間]7,776,000 秒 (90 日) に変更します。

  5. 接続がアクティブなままになるように、内部プロシージャを確立します。

    1. 更新トークンの有効期限が予想される前に、古い更新トークンを取り消してください。
    2. Microsoft Defender ポータルで、同じクライアント ID とクライアント シークレットを使用して、既存のコネクタを編集します。 これにより、新しい更新トークンが生成されます。

    注:

    これは、90 日ごとに定期的なプロセスです。 これを行わないと、ServiceNow 接続は動作を停止します。

ServiceNow をMicrosoft Defender for Cloud Appsに接続する

  1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。

  2. [ アプリ コネクタ ] ページで、[ +アプリの接続] を選択し、[ ServiceNow] を選択します。

    Defender ポータルで ServiceNow コネクタを見つける場所を示すスクリーンショット。

  3. 次のウィンドウで、接続に名前を付け、[ 次へ] を選択します。

  4. [ 詳細の入力 ] ページで、[ OAuth トークンを使用して接続する (推奨)] を選択します。 [次へ] を選択します。

    ServiceNow App Connector の詳細ダイアログのスクリーンショット。

  5. ServiceNow ユーザー ID を見つけるには、ServiceNow ポータルで [ ユーザー ] に移動し、テーブル内で自分の名前を見つけます。

  6. [ OAuth の詳細] ページでクライアント IDクライアント シークレットを入力します。 [次へ] を選択します。

  7. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。 [ 接続済みアプリ] で、[ アプリ コネクタ] を選択します。 接続されている App Connector の状態が [接続済み] になっていることを確認します。

ServiceNow に接続すると、接続の 1 時間前にイベントが受信されます。

レガシ ServiceNow 接続

ServiceNow をDefender for Cloud Appsに接続するには、管理者レベルのアクセス許可を持ち、ServiceNow インスタンスが API アクセスをサポートしていることを確認する必要があります。

  1. 管理 アカウントで ServiceNow アカウントにサインインします。

  2. Defender for Cloud Appsの新しいサービス アカウントを作成し、新しく作成したアカウントに管理ロールをアタッチします。

  3. REST API プラグインがオンになっていることを確認します。

次の手順

  • Last updated on