Este artículo explica cómo configurar el conector ServiceNow para la política de Protección API de Aplicación & Datos para su cuenta y crear reglas que utilicen este conector en la Política de Protección contra Amenazas y Protección de Datos.
La política de Protección API de Aplicación & Datos requiere una licencia Cato separada. Por favor, contacte a su representante de Cato o revendedor oficial para obtener más información.
Cree el conector para la instancia ServiceNow de su organización. Luego defina reglas en las políticas de Protección API de Aplicación & Datos que incluyan el conector ServiceNow y definan los objetos que se escanean e inspeccionan. Puede crear un único conector ServiceNow para cada instancia.
-
El conector ServiceNow requiere un administrador con el rol de administrador global para dar permisos a la API de Protección de Datos
-
El ámbito de la aplicación está configurado a global
Para habilitar que la API de Protección de Datos escanee registros de tablas y archivos adjuntos en su cuenta ServiceNow, el conector da a Cato los siguientes permisos y acciones con la aplicación ServiceNow:
-
Otorgar acceso a la aplicación usando OAuth2
-
Recibir un token de la aplicación para establecer y mantener una conexión segura
-
Conectar a las APIs de ServiceNow y escanear datos y tablas según la política de Protección API de Aplicación & Datos
Esta sección explica cómo establecer los permisos correctos de ServiceNow, crear conectores API para ServiceNow y conectar la instancia de ServiceNow de su organización a su cuenta Cato.
Nota
Nota: Asegúrese de no tener reglas ACL, ACL IP, reglas de negocio o políticas de datos que impacten la capacidad de Cato para conectarse a su instancia ServiceNow.
Cuando el administrador de ServiceNow crea el conector Cato, la cuenta del administrador necesita tener los permisos correctos para las tablas y roles. La tabla a continuación lista las tablas de ServiceNow a las que Cato necesita permisos para acceder.
El permiso mínimo requerido es el rol ITIL, pero le recomendamos que defina las tablas con el rol admin.
|
change_phase |
sn_hr_core_beneficiary |
sn_hr_core_op_report_type |
|
change_request |
sn_hr_core_benefit |
sn_hr_core_op_system |
|
change_request_imac |
sn_hr_core_benefit_provider |
sn_hr_core_op_system_to_report_type |
|
change_task |
sn_hr_core_benefit_type |
sn_hr_core_profile_bank_account |
|
cmdb |
sn_hr_core_bonus |
sn_hr_core_retirement_benefit |
|
incident |
sn_hr_core_case |
sn_hr_core_task |
|
incident_task |
sn_hr_core_case_operations |
sn_hr_core_tuition_reimbursement |
|
kb_knowledge |
sn_hr_core_case_payroll |
sn_si_incident |
|
kb_submission |
sn_hr_core_case_relations |
sn_si_request |
|
problem |
sn_hr_core_case_talent_management |
sn_si_task |
|
problem_task |
sn_hr_core_case_total_rewards |
sys_attachment |
|
release_phase |
sn_hr_core_case_workforce_admin |
sysapproval_group |
|
release_task |
sn_hr_core_direct_deposit |
sysevent |
|
sc_req_item |
sn_hr_core_op_report |
task |
|
sc_request |
sn_hr_core_op_report_frequency |
ticket |
|
sc_task |
Configure los permisos de tabla en su instancia de ServiceNow para permitir que el conector Cato monitoree tablas y datos.
Para configurar los permisos de las tablas de ServiceNow:
-
Inicie sesión en la consola de ServiceNow, y desde el menú de navegación busque Definición del Sistema y seleccione Tablas.
-
Busque el Nombre de una de las tablas, y haga clic en la tabla en el resultado de la búsqueda.
Este es un ejemplo de búsqueda de la tabla problema.
-
En la configuración de la tabla, haga clic en la pestaña Acceso a la Aplicación y asegúrese de que Permitir acceso a esta tabla mediante servicios web esté seleccionado.
-
Haga clic en Actualizar.
-
Repita los pasos 2-4 para todas las tablas enumeradas arriba en Tablas y roles requeridos de ServiceNow.
Cuando cree el conector ServiceNow, copie la URL base de su instancia de ServiceNow, y péguela en el nuevo conector Cato.
Nota
Nota: La URL base es el protocolo, ID de la instancia y nombre de dominio, sin la ruta. Por ejemplo, https://sample.service-now.com es la URL base para https://sample.service-now.com/now/nav.ui.classic.params
Luego en la consola de ServiceNow, cree una nueva aplicación OAuth, y pegue la URL de Redirección Cato. También puede agregar el logo de Cato a la aplicación.
La Duración de Vida del Token de Actualización define el tiempo que el conector API de Protección de Datos tiene permiso para escanear datos de ServiceNow. Para Seguridad máxima, recomendamos Actualizar este Valor de 8,640,000 Segundos (100 Días), a 31,536,000 Segundos (1 año). Esto asegura que el conector API de Protección de Datos tenga acceso continuo a los datos de ServiceNow. Dentro de los 14 días siguientes a la expiración de la Duración de Vida del Token de Actualización se muestra una advertencia en la Aplicación de Gestión de Cato, en la página Recursos > Integraciones. Para asegurarse de que el conector API de Protección de Datos tenga acceso continuo a los datos de ServiceNow, proporcione re-consentimiento.
Después de que se cree la nueva aplicación OAuth, copie el Client ID y el Client Secret de ServiceNow y pegue estos valores en el conector. Finalmente, guarde el conector de ServiceNow en la Aplicación de Gestión de Cato y ahora Cato está listo para monitorear objetos y tablas de ServiceNow.
Nota
Nota: El conector de Cato crea varias Reglas de Negocio de ServiceNow que se utilizan para monitorear las tablas. No elimine ninguna Regla de Negocio con el prefijo cato. Para más información, consulte la documentación de ServiceNow.
Para crear el conector para ServiceNow:
-
Desde el menú de navegación, seleccione Recursos > Integraciones y haga clic en la pestaña APIs Integradas.
-
Haga clic en Nuevo. Se abre el panel Nuevo Conector.
-
En el desplegable Conector de aplicación seleccione ServiceNow.
-
En la sección Capacidad, seleccione Protección de Datos y contra Amenazas.
-
Configure estos ajustes del conector:
-
Ingrese el Nombre del Conector.
-
Desde la consola de ServiceNow, copie la URL base y pégala en URL base de ServiceNow.
-
-
Para el paso 3, configure la nueva aplicación OAuth de ServiceNow:
-
Inicie sesión en la consola de ServiceNow.
-
Vaya a System OAuth > Registro de Aplicaciones y haga clic en Nuevo.
-
Haga clic en Crear un punto de conexión API OAuth para clientes externos.
Se abre la nueva aplicación OAuth.
-
Ingrese el Nombre para la aplicación.
-
Asegúrese de que la opción Cliente Público esté desactivada.
-
En el panel de Nuevo Conector de la Aplicación de Gestión de Cato, haga clic en
para copiar la URL de redirección de Cato.
-
En la aplicación ServiceNow, en URL de redirección, pegue la URL.
-
(Opcional) En URL del Logo, ingrese
https://www.catonetworks.com/wp-content/uploads/2022/03/cato-logo.svgpara mostrar el Logotipo de Cato para la aplicación.Nota: No es necesario configurar los ajustes para ninguno de los otros campos en la nueva aplicación de ServiceNow.
-
(Recomendado) Actualizar la Duración de vida del Token de Actualización a 31,536,000 segundos.
-
Haga clic en Enviar. La aplicación OAuth de ServiceNow se ha creado.
-
-
Para el paso 4, en la consola de ServiceNow, haga clic en la nueva aplicación OAuth para abrirla.
-
Copie y pegue los siguientes campos de la aplicación OAuth al conector de Cato en la Aplicación de Gestión de Cato:
-
Client ID
-
Client Secret
-
-
-
En la Aplicación de Gestión de Cato, haga clic en Guardar.
Se abre una pantalla de permisos de ServiceNow en una nueva pestaña del navegador.
-
Conceda permisos a su cuenta de Cato para acceder a la aplicación de ServiceNow.
-
Haga clic en Permitir para permitir que Cato acceda a la aplicación de ServiceNow.
-
La pantalla muestra que ha aplicado con éxito los permisos para la instancia.
Puede cerrar la pestaña del navegador y regresar a la Aplicación de Gestión de Cato. Puede tardar varios segundos para que ServiceNow procese la solicitud, por lo que, si recibe un error, actualice el navegador.
Mientras ServiceNow está procesando la solicitud, el Estado para el conector es Pendiente de consentimiento del usuario (ver más abajo en Comprender el Estado del Conector).
-
-
La aplicación SaaS de ServiceNow se agrega a la pestaña APIs Integradas.
Debe proporcionar proactivamente nuevo consentimiento para que el Conector de API de Protección de Datos acceda a los datos de ServiceNow antes de que el token expire. Si el token expira sin proporcionar nuevo consentimiento, el Conector de API de Protección de Datos no tiene acceso a los datos de ServiceNow hasta que proporcione nuevamente el consentimiento en la Aplicación de Gestión de Cato.
La columna Estado en la página de Aplicaciones SaaS Instaladas muestra el estado de la conexión entre la aplicación de ServiceNow y su cuenta de Cato. Estas son las explicaciones de los estados:
-
Conectado - Su cuenta está conectada a la aplicación y funciona correctamente
-
Advertencia de conexión - Hay un problema temporal relacionado con la obtención de datos de la instancia de ServiceNow. Esto podría deberse a que el Token de Actualización está expirando en 14 días o menos. Para resolver este problema, proporcione nuevo consentimiento para que el Conector de API de Protección de Datos acceda a los datos de ServiceNow. Si esto no resuelve el problema, abra un ticket con Soporte.
-
Error de conexión - Problema de conectividad o permisos con el conector de ServiceNow. Por favor, abra un ticket con Soporte.
-
Pendiente de consentimiento del usuario - El conector de ServiceNow está creado en la pantalla de Configuración de Conexión, sin embargo, no ha completado el proceso para autorizar a Cato para conectarse con su cuenta de ServiceNow.
Esta sección explica cómo utilizar la política de Protección de Datos para monitorear casos gestionados por ServiceNow.
Utilice la página de Protección de Datos para añadir las reglas de la aplicación SaaS en su Política de protección de datos.
Cree una Regla de Protección de Datos para definir el tráfico que es escaneado por la API de Protección de Datos. Cree reglas separadas para cada conector de aplicación SaaS, y luego defina los criterios que determinan qué tráfico se escanea.
Puede elegir monitorear el contenido de campos y/o adjuntos en la instancia de ServiceNow.
Para más información sobre la configuración de las reglas de ServiceNow, consulte a continuación en Comprender las Reglas de ServiceNow.
Para crear una nueva regla de Protección de Datos para el conector de aplicaciones de ServiceNow:
-
Desde el panel de navegación, seleccione Seguridad > App & Protección de Datos API y seleccione o expanda Protección de Datos.
-
Haga clic en Nuevo. El panel Nueva Regla se abre.
-
En la sección Conector de Aplicación, seleccione el conector de aplicación de ServiceNow.
-
En la sección General, ingrese la configuración para la regla.
-
En la sección Objetos, defina las tablas de ServiceNow que se monitorean (el valor predeterminado es Cualquiera).
Cuando selecciona múltiples objetos, hay una relación O entre ellos.
-
En Perfil de Contenido, seleccione el Perfil de Contenido DLP para esta regla.
Para más información sobre los Perfiles de Contenido DLP, vea Creación de Perfiles de Contenido DLP.
-
(Opcional) Configure las opciones de seguimiento para generar Eventos y Enviar Notificaciones.
Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.
-
Haz clic en Guardar. La regla se agrega a la política de Protección de Datos.
Esta sección explica cómo definir la configuración para las reglas de Protección de Datos para escanear los archivos adjuntos o tablas de ServiceNow. Cada regla puede ser definida según los siguientes criterios:
-
Objetos - Seleccione una o más de las siguientes tablas de ServiceNow que la regla monitorea
-
Tarea SC
-
Fase de cambio
-
Solicitud de cambio
-
Tarea de cambio
-
Tareas de versión
-
Grupo de aprobación del sistema
-
Solicitud de cambio imac
-
Incidente
-
Tarea de incidente
-
Envío de KB
-
Conocimiento de KB
-
Problema
-
Tarea de problema
-
Fase de versión
-
Solicitud SC
-
Artículo SC REQ
-
Tarea
-
Ticket
-
-
Perfil de contenido - Perfil de Contenido DLP que define la inspección de contenido DLP
Puede crear o editar Perfiles de Contenido en Seguridad > Perfiles DLP > Perfiles DLP > Perfil de contenido
-
Acciones - Seleccione si desea generar un evento o enviar una notificación cuando la regla se cumpla
El motor API de protección de datos inspecciona los datos secuencialmente y comprueba si coinciden con una regla. Si los datos no coinciden con una regla, entonces no son inspeccionados. Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad y se aplican antes que las reglas más bajas en la base de reglas. Cada tipo de aplicación o conector se aplica a los datos solo una vez.
Mejores prácticas - Para maximizar la eficiencia de su base de reglas, recomendamos que para cada tipo de conector, las reglas para usuarios específicos tengan una mayor prioridad que las reglas que se aplican a Cualquiera usuario.
Por ejemplo, si los datos coinciden con un conector en la regla #2, los datos son inspeccionados por el motor API de protección de datos. El motor no continúa aplicando las reglas #3 y las siguientes para el mismo conector. Sin embargo, los datos podrían coincidir con una regla de menor prioridad con un conector diferente.
Puede crear reglas de Protección contra Amenazas para el conector para escanear archivos y adjuntos en busca de malware y virus utilizando los motores Anti-Malware y Next Gen Anti-Malware que están activados para su cuenta. El motor API de protección de datos escanea el tráfico del conector y aplica las opciones de acción y seguimiento que configure para la regla:
-
Monitorear el tráfico (el bloqueo será soportado pronto)
-
Generar eventos
-
Enviar notificaciones por email
Cuando crea una regla App & Protección de Datos API, los motores Anti-Malware que están habilitados para su cuenta (Seguridad > Anti-Malware) realizan escaneos de malware en los archivos que se envían para esa aplicación del conector.
La captura de pantalla siguiente muestra una regla de Protección contra Amenazas para el conector de OneDrive que analiza archivos enviados por usuarios internos o invitados:
A veces hay un archivo bloqueado por los motores de la API de Protección de Datos de Cato que sabe que es seguro, y necesita permitirlo en la red. Las excepciones de Anti-Malware en la política de Hash del archivo también se aplican a la Protección de API de Aplicación y Datos. Para más información sobre cómo agregar archivos a la Política de Hash del archivo, consulte Gestión de Excepciones de Anti-Malware.
La página Home > Eventos muestra todos los Eventos de Protección de Datos API para tu Cuenta. Las poderosas herramientas de búsqueda te permiten profundizar y identificar los pocos eventos que contienen los datos relevantes que necesitas.
Los eventos de la API de Protección de Datos pueden identificarse por los siguientes campos:
-
Tipo de evento - Seguridad
-
Subtipo - Protección de datos de API de seguridad SaaS y Anti Malware de API de seguridad SaaS
Puedes obtener más información sobre cómo usar la página de Eventos aquí.
|
Nombre del campo |
Descripción |
|---|---|
|
Nombre del Conector |
Nombre para el conector que está definido para la regla |
|
Tipo de Conector |
Aplicación SaaS que está definida para este conector |
|
Perfil DLP |
Perfil de Contenido DLP que generó este evento |
|
Nombre de archivo |
Nombre del archivo adjunto |
|
URL Completa |
URL completa del archivo, del registro de la tabla o del adjunto que generó este evento |
|
Tipos de Datos Correspondientes |
Tipos de datos en el Perfil de Contenido que coincidieron con la regla |
|
Nombre del Objeto |
Datos para el objeto de ServiceNow que generó el evento:
|
|
Tipo de Objeto |
Registro de la tabla |
|
Propietario |
Nombre de usuario del propietario |
|
Regla |
Nombre de la regla en la política de Protección de Datos |
|
Gravedad |
Gravedad definida para la regla |
0 comentarios
Inicie sesión para dejar un comentario.