この記事は、アプリ&データAPI保護ポリシーにおいてServiceNowコネクタをアカウント用に構成し、このコネクタを使用するルールを脅威保護およびデータ保護ポリシーで作成する方法を説明します。
アプリ&データAPI保護ポリシーには別のカトライセンスが必要です。 詳細については、Catoの担当者または公式リセラーにお問い合わせください。
組織のServiceNowインスタンス用のコネクタを作成。 その後、ServiceNowコネクタを含むアプリ&データAPI保護ポリシーにルールを定義し、スキャンおよび検査されるオブジェクトを定義します。 各インスタンスに対して単一のServiceNowコネクタを作成できます。
このセクションでは、正しいServiceNow権限の設定方法、ServiceNow用APIコネクタの作成、および組織のServiceNowインスタンスをCatoアカウントに接続する方法を説明します。
注記
注記: CatoのServiceNowインスタンスへの接続能力に影響を与えるACL、IP ACL、ビジネスルール、またはデータポリシーを持っていないことを確認してください。
ServiceNow管理者がカトコネクタを作成する際に、その管理者アカウントにはテーブルとロールの正しい権限が必要です。 下記の表に、Catoがアクセスするのに必要なServiceNowテーブルを列挙しています。
最低限必要な権限はITILロールですが、推奨するテーブルを管理者ロールで定義してください。
|
change_phase |
sn_hr_core_beneficiary |
sn_hr_core_op_report_type |
|
change_request |
sn_hr_core_benefit |
sn_hr_core_op_system |
|
change_request_imac |
sn_hr_core_benefit_provider |
sn_hr_core_op_system_to_report_type |
|
change_task |
sn_hr_core_benefit_type |
sn_hr_core_profile_bank_account |
|
cmdb |
sn_hr_core_bonus |
sn_hr_core_retirement_benefit |
|
incident |
sn_hr_core_case |
sn_hr_core_task |
|
incident_task |
sn_hr_core_case_operations |
sn_hr_core_tuition_reimbursement |
|
kb_knowledge |
sn_hr_core_case_payroll |
sn_si_incident |
|
kb_submission |
sn_hr_core_case_relations |
sn_si_request |
|
problem |
sn_hr_core_case_talent_management |
sn_si_task |
|
problem_task |
sn_hr_core_case_total_rewards |
sys_attachment |
|
release_phase |
sn_hr_core_case_workforce_admin |
sysapproval_group |
|
release_task |
sn_hr_core_direct_deposit |
sysevent |
|
sc_req_item |
sn_hr_core_op_report |
task |
|
sc_request |
sn_hr_core_op_report_frequency |
ticket |
|
sc_task |
Catoコネクタがテーブルとデータを監視できるようにするために、ServiceNowインスタンスでテーブルの権限を設定します。
ServiceNowテーブルの権限を設定するには:
-
ServiceNowコンソールにログインし、ナビゲーションメニューからシステム定義を検索し、テーブルを選択します。
-
検索結果で任意のテーブルの名前を検索し、そのテーブルをクリックします。
これは、problemテーブルを検索する例です。
-
テーブル設定で、アプリケーションアクセスタブをクリックし、Webサービスを介してこのテーブルへのアクセスを許可が選択されていることを確認します。
-
更新をクリックします。
-
上記の"必要なServiceNowのテーブルとロール"にリストされたすべてのテーブルに対して、手順2-4を繰り返します。
ServiceNowコネクタを作成する際、ServiceNowインスタンスのベースURLをコピーし、新しいCatoコネクタに貼り付けます。
注記
注意: ベース URL はプロトコル、インスタンス ID、ドメイン名であり、パスは含まれません。 例えば、https://sample.service-now.com は https://sample.service-now.com/now/nav.ui.classic.params のベース URL です
次に、ServiceNow コンソールで新しい OAuth アプリケーションを作成し、Cato リダイレクト URL を貼り付けます。 また、アプリケーションに Cato ロゴを追加することもできます。
リフレッシュ トークンの有効期間 は、データ保護 API コネクタが ServiceNow データをスキャンするための許可を持つ期間を定義します。 最大セキュリティを確保するために、この値をデフォルトの 8,640,000 秒 (100 日) から 31,536,000 秒 (1 年) に更新することをお勧めします。 これにより、データ保護 API コネクタが ServiceNow データに継続してアクセスできるようになります。 リフレッシュ トークンの有効期間の期限切れの 14 日以内に、Cato Management Application の リソース > 統合 ページに警告が表示されます。 データ保護APIコネクタがServiceNowデータへの継続的なアクセスを確保するために、再同意を提供します。
新しい OAuth アプリケーションが作成された後、ServiceNow の クライアント ID と クライアントシークレット をコピーして、コネクタにこれらの値を貼り付けます。 最後に、Cato Management Application に ServiceNow コネクタを保存すると、Cato は ServiceNow オブジェクトとテーブルを監視する準備が整います。
注記
注意: Cato コネクタは、テーブルを監視するために使用されるいくつかの ServiceNow ビジネスルールを作成します。 cato プレフィックスのついたビジネスルールは削除しないでください。 詳細については、ServiceNowのドキュメントを参照してください。
ServiceNow のコネクタを作成するには:
-
ナビゲーションメニューからリソース > 統合を選択し、統合 APIタブをクリックします。
-
新規 をクリックします。 新規コネクタ パネルが開きます。
-
SaaS アプリケーションのドロップダウンでサービスNowを選択します。
-
機能セクションで、データと脅威保護を選択します。
-
これらのコネクター設定を構成します。
-
コネクタ名 を入力します。
-
ServiceNow コンソールからベース URL をコピーし、ServiceNowベースURL に貼り付けます。
-
-
ステップ 3 では、新しい ServiceNow OAuth アプリケーションを構成します:
-
ServiceNow コンソールにログインします。
-
システム OAuth > アプリケーション レジストリ に移動し、新規 をクリックします。
-
外部クライアントのための OAuth API エンドポイントを作成 をクリックします。
新しい OAuth アプリケーションが開かれます。
-
アプリケーションのための名前を入力します。
-
パブリッククライアント オプションがクリアされていることを確認します。
-
Cato管理アプリケーションの新規コネクタパネルで、
をクリックしてCatoリダイレクトURLをコピーします。
-
ServiceNow アプリケーションで、リダイレクト URL に URL を貼り付けます。
-
(オプション) ロゴ URL に
https://www.catonetworks.com/wp-content/uploads/2022/03/cato-logo.svgを入力して、アプリケーションに Cato ロゴを表示します。注意: 新しい ServiceNow アプリケーションの他のフィールドの設定を構成する必要はありません。
-
(推奨) リフレッシュ トークンの有効期間 を 31,536,000 秒に更新します。
-
送信 をクリックします。 ServiceNow OAuth アプリケーションが作成されました。
-
-
ステップ 4 では、ServiceNow コンソールで新しい OAuth アプリケーションをクリックして開きます。
-
以下の OAuth アプリケーションフィールドを Cato 管理アプリケーションの Cato コネクタにコピーして貼り付けます:
-
クライアント ID
-
クライアントシークレット
-
-
-
Cato Management Application で 保存 をクリックします。
新しいブラウザタブで ServiceNow の権限画面が開きます。
-
Cato アカウントが ServiceNow アプリにアクセスできるように権限を付与します。
-
ServiceNow アプリへのアクセスを許可するために 許可 をクリックします。
-
画面には、インスタンスの権限を正常に適用したことが表示されます。
ブラウザタブを閉じて、Cato Management Application に戻ることができます。 ServiceNow がリクエストを処理するのに数秒かかる場合があるため、エラーが発生した場合はブラウザを更新してください。
ServiceNowがリクエストを処理している間、コネクタのステータスはユーザー同意保留中です(コネクタステータスの理解を参照)。
-
-
ServiceNow SaaSアプリケーションが統合 APIタブに追加されます。
トークンが期限切れになる前に、データ保護 APIコネクタがServiceNowデータへアクセスするために、積極的に再同意を提供する必要があります。 トークンが期限切れで再同意を提供しないと、Cato管理アプリケーションで再同意を提供するまで、データ保護 APIコネクタはServiceNowデータにアクセスできません。
インストール済み SaaS アプリケーションページのステータス列には、ServiceNowアプリとCatoアカウントの接続状況が表示されます。 これらはステータスの説明です:
-
接続済み - アカウントがアプリと接続され、正常に動作しています。
-
接続警告 - ServiceNowインスタンスからデータをポーリングする際の一時的な問題があります。 これは更新トークンが14日以内に期限切れになることが原因の可能性があります。 この問題を解決するには、データ保護 APIコネクタがServiceNowデータにアクセスするために再同意を提供します。 これで問題が解決しない場合は、サポート にチケットを発行してください。
-
接続エラー - ServiceNowコネクタの接続性または権限の問題。 サポートと共にチケットを開いてください。
-
ユーザ承諾の保留 - サービスNowコネクタは接続設定画面で作成されていますが、CatoがあなたのServiceNowアカウントに接続するための承認手続きは完了していません。
このセクションでは、ServiceNowが管理するケースを監視するためにデータ保護ポリシーを使用する方法を説明しています。
データ保護ページを使用して、データ保護ポリシーにSaaSアプリケーションルールを追加します。
データ保護 APIによってスキャンされるトラフィックを定義するためのデータ保護ルールを作成します。 各SaaSアプリコネクタごとに個別のルールを作成し、スキャンされるトラフィックを決定する基準を定義します。
ServiceNow インスタンスで項目や添付ファイルの内容を監視することを選択できます。
ServiceNowルール設定の詳細については、ServiceNowルールの理解を参照してください。
ServiceNow アプリ コネクタ用の新しいデータ保護ルールを作成するには:
-
ナビゲーションペインからセキュリティ > App & データ API 保護を選択し、データ保護を選択または展開します。
-
新規をクリックします。 新規ルールパネルが表示されます。
-
アプリケーションコネクタセクションで、ServiceNow アプリコネクタを選択します。
-
一般セクションで、ルールの設定を入力します。
-
オブジェクトセクションで、監視される ServiceNow テーブルを定義します(デフォルト値はいずれかです)。
-
コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。
DLPコンテンツプロファイルの詳細については、DLPコンテンツプロファイルの作成をご覧ください。
-
(オプション) トラッキングオプションを設定して、イベントを生成し、通知を送信します。
通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックしてください。 ルールがデータ保護ポリシーに追加されます。
このセクションでは、ServiceNow の添付ファイルやテーブルをスキャンするためのデータ保護ルールの設定を定義する方法を説明します。 各ルールは次の基準に従って定義できます:
-
オブジェクト - ルールが監視する次の ServiceNow テーブルのいずれかを選択します
-
SC タスク
-
変更フェーズ
-
変更要求
-
変更タスク
-
リリースタスク
-
Sysapproval グループ
-
イマックに関する変更要求
-
インシデント
-
インシデントタスク
-
KB 提出
-
KB 知識
-
問題
-
問題タスク
-
リリースフェーズ
-
SCリクエスト
-
SC REQアイテム
-
タスク
-
チケット
-
-
コンテンツプロファイル - データ漏洩防止コンテンツ検査を定義するDLPコンテンツプロファイル
セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます
-
アクション - ルールに一致した際にイベントを生成するか通知を送信するか選択してください
データ保護API エンジンは、データを順に点検し、ルールに一致するかどうかをチェックします。 データがルールに一致しない場合、検査されません。 ルールベースの上位にあるルールは優先順位が高く、ルールベースの下位にあるルールよりも先に適用されます。 各アプリケーションまたはコネクタタイプは、データに一度だけ適用されます。
ベストプラクティス - ルールベースの効率を最大化するために、各コネクタタイプにおいて、特定のユーザーに関連するルールは< span class="bold">誰でもユーザーに適用されるルールよりも高い優先度を持つことをお勧めします
例えば、データがルール#2のコネクタと一致する場合、そのデータはデータ保護API エンジンによって検査されます エンジンは同じコネクタに対するルール#3以下の適用を続けません しかしながら、データは別のコネクタであれば優先度の低いルールと一致することがあります。
コネクタ用の脅威保護ルールを作成して、アカウントに対して有効化されたアンチマルウェアおよび次世代アンチマルウェアエンジンを使用してファイルや添付ファイルをマルウェアやウイルスからスキャンできます。 データ保護API エンジンがコネクタトラフィックをスキャンし、生成されたルールに従ってアクションと追跡オプションを適用します:
-
トラフィックのモニター(ブロックはまもなくサポートされます)
-
イベントを生成
-
メール通知を送信
アプリ & データAPI保護 ルールを作成する際、お使いのアカウント(セキュリティ > アンチマルウェア)に有効化されたアンチマルウェアエンジンによって、そのコネクタアプリケーションに送信されたファイルのマルウェアスキャンが実行されます。
次のスクリーンショットは、内部ユーザーやゲストが送信したファイルをスキャンするOneDriveコネクタ用の脅威保護ルールを示します:
時折、安全であると確認されたファイルがCatoのデータ保護API エンジンによってブロックされることがあるため、ネットワーク上での許可が必要です。 ファイルハッシュポリシー内のマルウェア対策例外はアプリ&データAPI保護にも適用されます。 ファイルハッシュポリシーにファイルを追加する詳細については、マルウェア対策例外の管理を参照してください。
ホーム > イベント ページには、アカウントのデータ保護 API イベントが表示されます。 強力な検索ツールを使用すると、必要な関連データを含むごく少数のイベントを絞り込んで特定できます。
データ保護 API イベントは、以下の項目によって識別できます:
-
イベントタイプ - セキュリティ
-
サブタイプ - SaaSセキュリティAPIデータ保護とSaaSセキュリティAPIアンチマルウェア
イベントページの使用についての詳細はこちらをご覧ください。
|
項目名 |
説明 |
|---|---|
|
コネクタ名 |
ルールに対して定義されたコネクタの名称 |
|
コネクタタイプ |
このコネクタに対して定義されたSaaSアプリケーション |
|
DLPプロファイル |
このイベントを生成したDLPコンテンツプロファイル |
|
ファイル名 |
添付ファイルの名前 |
|
フローのフルパスURL |
このイベントを生成したファイル、テーブルレコード、または添付ファイルの完全なURL |
|
一致したデータタイプ |
ルールに一致したコンテンツプロファイル内のデータタイプ |
|
オブジェクト名 |
イベントを生成したServiceNowオブジェクトのデータ:
|
|
オブジェクトタイプ |
テーブルレコード |
|
所有者 |
所有者ユーザ名 |
|
ルール |
データ保護ポリシー内のルール名 |
|
セベリティ |
ルールに対して定義されたセベリティ |
0件のコメント
サインインしてコメントを残してください。