配置 ServiceNow 的 SaaS 安全性 API 连接器

本文解释了如何为您的账户配置 SaaS 安全性 API 策略的 ServiceNow 连接器,并在威胁防护和数据保护策略中创建使用此连接器的规则。

SaaS 安全性 API 策略需要一个单独的 Cato 许可证。 请联系您的 Cato 代表或官方经销商以获取更多信息。

ServiceNow 连接器概览

为您的组织创建 ServiceNow 实例的连接器。 然后在 SaaS 安全性 API 威胁防护和数据保护策略中定义包含 ServiceNow 连接器的规则,并定义被扫描和检查的对象。 您可以为每个实例创建一个 ServiceNow 连接器。

前提条件

  • ServiceNow 连接器需要具有全局管理员角色的管理员为 Cato 的 SaaS 安全性 API 授予权限

  • 应用范围设置为全局

ServiceNow API 连接器所需的权限

为了使 Cato 的 SaaS 安全性 API 能够扫描您的 ServiceNow 账户中的表记录和附件,连接器提供给 Cato 以下权限和与 ServiceNow 应用的操作:

  • 使用OAuth2授予应用程序访问权限

  • 从应用程序接收令牌以建立和维护安全连接

  • 连接到 ServiceNow API,并根据 SaaS 安全性 API 数据保护策略扫描数据和表格

使用 ServiceNow 连接器

本节解释了如何设置正确的 ServiceNow 权限,创建 ServiceNow 的 API 连接器,以及将您的组织的 ServiceNow 实例连接到您的 Cato 账户。

注意

注意: 请确保没有影响 Cato 连接到您的 ServiceNow 实例的 ACL、IP ACL、业务规则或数据策略。

所需的 ServiceNow 表和角色

当 ServiceNow 管理员创建 Cato 连接器时,管理员账户需要具备表格和角色的正确权限。 下表列出了 Cato 需要权限才能访问的 ServiceNow 表格。

最低要求的权限是 ITIL 角色,但我们建议您用 admin 角色定义表格。

change_phase

sn_hr_core_beneficiary

sn_hr_core_op_report_type

change_request

sn_hr_core_benefit

sn_hr_core_op_system

change_request_imac

sn_hr_core_benefit_provider

sn_hr_core_op_system_to_report_type

change_task

sn_hr_core_benefit_type

sn_hr_core_profile_bank_account

cmdb

sn_hr_core_bonus

sn_hr_core_retirement_benefit

incident

sn_hr_core_case

sn_hr_core_task

incident_task

sn_hr_core_case_operations

sn_hr_core_tuition_reimbursement

kb_knowledge

sn_hr_core_case_payroll

sn_si_incident

kb_submission

sn_hr_core_case_relations

sn_si_request

problem

sn_hr_core_case_talent_management

sn_si_task

problem_task

sn_hr_core_case_total_rewards

sys_attachment

release_phase

sn_hr_core_case_workforce_admin

sysapproval_group

release_task

sn_hr_core_direct_deposit

sysevent

sc_req_item

sn_hr_core_op_report

task

sc_request

sn_hr_core_op_report_frequency

工单

sc_task

设置 ServiceNow 表格的权限

在您的 ServiceNow 实例中设置表格权限,以允许 Cato 连接器监控表格和数据。

要设置 ServiceNow 表格权限:

  1. 登录 ServiceNow 控制台,并从导航菜单中搜索 系统定义 并选择 表格

  2. 搜索其中一个表格的 名称,并在搜索结果中点击该表格。

    这是一个搜索 问题 表格的示例。

    ServNow_Table_Search.png

  3. 在表格设置中,点击 应用访问 标签,确保已经选择了 允许通过网络服务访问此表格

    Allow_access.png

  4. 点击 更新

  5. 对上述在必填的ServiceNow表格和角色中列出的所有表格重复步骤2-4。

创建 ServiceNow 连接器

当您创建ServiceNow连接器时,复制您ServiceNow实例的基础URL,并将其粘贴到新的Cato连接器中。

注意

注意: 基础URL是协议、实例ID和域名,不包括路径。 例如,https://sample.service-now.comhttps://sample.service-now.com/now/nav.ui.classic.params 的基础URL。

然后在ServiceNow控制台中,创建一个新的OAuth应用程序,并粘贴Cato重定向URL。 您还可以将Cato徽标添加到应用程序中。

刷新令牌使用期限定义SaaS安全API连接器具有扫描ServiceNow数据的权限时间长度。 为了最大限度地提高安全性,我们建议您将此值从默认的 8,640,000 秒 (100 天) 更新到 31,536,000 秒 (1 年)。 这确保了SaaS安全API连接器能继续访问ServiceNow数据。 在刷新令牌使用期限到期前14天,一个警告在Cato管理应用程序的资源 > 集成页面上显示。 为确保 SaaS 安全 API 连接器继续访问 ServiceNow 数据,请提供重新同意

创建新的OAuth应用程序后,复制ServiceNow的客户端ID客户端密钥,并将这些值粘贴到连接器中。 最后,在Cato管理应用程序中保存ServiceNow连接器,Cato现在准备好监控ServiceNow对象和表格。

注意

注意: Cato连接器创建了几个用于监控表格的ServiceNow业务规则。 不要删除任何以cato为前缀的业务规则。 有关更多信息,请参见ServiceNow文档

要创建ServiceNow连接器:

  1. 从导航菜单中,选择资源 > 集成,然后点击SaaS APIs 数据保护

  2. 点击新建新连接器面板打开。

  3. 在第1步,在SaaS应用程序中选择ServiceNow

  4. 在第2步,配置这些连接器设置:

    1. 输入连接器名称

      02_baseURL.png

    2. 从ServiceNow控制台复制基础URL,并将其粘贴在ServiceNow基础URL中。

  5. 在第3步,配置新的ServiceNow OAuth应用程序:

    step3_oauth.png

    1. 登录到ServiceNow控制台。

    2. 导航到系统OAuth > 应用程序注册,然后点击新建

      01_SN_oauth_app.png

    3. 点击为外部客户端创建OAuth API端点

      新的Oauth应用程序打开。

      New_oauth_app.png

    4. 为应用程序输入名称

    5. 确保公共客户端选项未选中。

    6. 在 Cato 管理应用程序的新连接器面板中,点击copy.png复制 Cato 重定向 URL。

    7. 在ServiceNow应用程序中,在重定向URL中粘贴该URL。

    8. (可选)徽标 URL中,输入https://www.catonetworks.com/wp-content/uploads/2022/03/cato-logo.svg以显示应用程序的 Cato 徽标。

      注意:无需配置新ServiceNow应用程序中的其他字段设置。

      ServiceNow_URLs.png

    9. (推荐)刷新令牌使用期限更新为 31,536,000 秒。

    10. 点击提交。 已创建ServiceNow OAuth应用程序。

  6. 在第4步,在ServiceNow控制台中,点击新OAuth应用程序以打开它。

    1. 复制并粘贴以下OAuth应用程序字段到Cato管理应用程序中的Cato连接器:

      • 客户端ID

      • 客户端密钥

  7. 在Cato管理应用程序中,点击保存

    一个ServiceNow权限屏幕会在一个新的浏览器标签页中打开。

  8. 授予您的Cato账户访问ServiceNow应用程序的权限。

    1. 点击允许以允许Cato访问ServiceNow应用程序。

    2. 屏幕显示您已成功为实例应用了权限。

      Success_Connector_Permissions.png

      您可以关闭浏览器标签页并返回到Cato管理应用程序。 ServiceNow处理请求可能需要几秒钟,因此如果您收到错误,请刷新浏览器。

      当ServiceNow正在处理请求时,连接器的状态为等待用户同意(请参阅下面的了解连接器状态)。

  9. ServiceNow SaaS应用程序已添加到SaaS APIs 数据保护页面。

    SN_integrations.png

为SaaS安全API连接器提供重新同意

您需要主动为SaaS安全API连接器提供重新同意,以便在令牌到期前访问ServiceNow数据。 如果令牌在没有提供重新同意的情况下到期,SaaS安全API连接器将无法访问ServiceNow数据,直到您在Cato管理应用程序中提供重新同意。

SN1.png

为SaaS安全API连接器提供重新同意:

  1. 在导航菜单中,选择资源 > 集成并点击SaaS APIs 数据保护

  2. 点击ServiceNow连接器旁边的三个点。

  3. 点击重新同意

了解连接器状态

已安装的SaaS应用程序页面的状态列中显示ServiceNow应用程序与您的Cato账户之间的连接状态。 这些是状态的解释:

  • 已连接 - 您的账户已连接到应用程序并正常工作

  • 连接警告 - 与ServiceNow实例轮询数据相关的临时问题。 这可能是因为刷新令牌将在14天或更短时间内到期。 为了解决此问题,为SaaS安全API连接器提供重新同意以访问ServiceNow数据。 如果此操作无法解决问题,请与支持开立一个工单。

  • 连接错误 - 与ServiceNow连接器的连接性或权限问题。 请与支持开立一个工单。

  • 等待用户同意 - ServiceNow连接器已在连接设置屏幕创建,但尚未完成授权Cato访问您的ServiceNow账户的过程。

将ServiceNow规则添加到数据保护策略

本节说明如何使用数据保护策略监控由ServiceNow管理的案例。

配置ServiceNow规则

使用数据保护页面在您的数据保护策略中添加SaaS应用程序规则。

创建数据保护规则以定义由SaaS安全API扫描的流量。 为每个SaaS应用程序连接器创建单独的规则,然后定义确定何种流量被扫描的条件。

您可以选择监控ServiceNow实例中的字段内容和/或附件。

有关ServiceNow规则设置的更多信息,请参阅下面的了解ServiceNow规则

Slack_Data_Protection_Rule.png

要为ServiceNow应用连接器创建新的数据保护规则:

  1. 从导航面板中,选择安全 > SaaS 安全 API 策略并选择或展开数据保护

  2. 点击新建新建规则面板打开。

  3. 应用连接器部分中,选择ServiceNow应用连接器。

  4. 常规部分中,输入规则的设置。

  5. 对象部分中,定义被监控的ServiceNow表(默认值为任何)。

    当您选择多个对象时,它们之间为或关系。

  6. 内容配置文件中,选择此规则的数据泄露防护配置文件。

    关于数据泄露防护配置文件的更多信息,请参阅创建数据泄露防护配置文件

  7. (可选) 配置跟踪选项以生成事件并发送通知。

    有关通知的更多信息,请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章:警报

  8. 点击保存。 该规则已添加到数据保护策略中。

了解ServiceNow规则

本节说明如何定义数据保护规则的设置以扫描ServiceNow附件或表。 每个规则可以根据以下条件定义:

  • 对象 - 选择规则监控的以下一个或多个ServiceNow表

    • SC任务

    • 变更阶段

    • 变更请求

    • 变更任务

    • 发布任务

    • 系统审批组

    • 变更请求imac

    • 事件

    • 事件任务

    • 知识库提交

    • KB知识

    • 问题

    • 问题任务

    • 发布阶段

    • SC申请

    • SC请求项目

    • 任务

    • 工单

  • 内容配置文件 - 定义DLP内容检查的DLP内容配置文件

    您可以在安全性 > DLP配置文件 > DLP配置文件 > 内容配置文件中创建或编辑内容配置文件

  • 操作 - 选择是否在规则匹配时生成事件或发送通知

处理有序数据保护规则

SaaS安全API引擎按顺序检查数据,并检查其是否与规则匹配。 如果数据不匹配规则,则不检查它。 规则库顶部的规则优先级较高,并在规则库中较低的规则之前应用。 每种类型的应用程序或连接器仅对数据应用一次。

最佳实践 - 为了最大化规则库的效率,我们建议对于每种连接器类型,特定用户的规则优先于应用于任何用户的规则。

例如,如果数据与规则#2中的连接器匹配,SaaS安全API引擎将检验数据。 引擎不会继续对同一连接器应用规则#3及以下规则。 然而,数据可能匹配不同连接器的较低优先级规则。

为连接器添加威胁防护

您可以为连接器创建威胁防护规则,使用为您的账户启用的反恶意软件和下一代反恶意软件引擎扫描文件和附件中的恶意软件和病毒。 SaaS安全API引擎扫描连接器流量并应用您为规则配置的操作和跟踪选项:

  • 监控流量(阻止功能即将支持)

  • 生成事件

  • 发送电子邮件通知

当您创建SaaS 安全 API 威胁防护规则时,为您的账户启用的反恶意软件引擎(安全性 > 反恶意软件)会对发送的文件执行恶意软件扫描以用于该连接器应用程序。

以下屏幕截图显示了用于OneDrive连接器的威胁防护规则,以扫描内部用户或访客发送的文件:

CAS_Threat_Protection.png

为文件创建例外

有时,您知道某些文件是安全的,但被Cato的SaaS安全API引擎阻止,您需要在网络中允许它。 事件页面允许您使用文件哈希来创建绕过威胁防护扫描的例外。 在打开被阻止特定文件的事件后,单击文件哈希以打开例外配置面板并将该文件添加为账户的例外。 您可以选择文件例外的时间持续时间,或将例外配置为永久持续。

反恶意软件和SaaS安全API的文件例外

文件例外适用于反恶意软件SaaS 安全 API 威胁防护策略。 当您从反恶意软件和NG反恶意软件事件创建例外时,这些例外也适用于SaaS安全API威胁防护策略。 同样,当您从SaaS安全API反恶意软件事件创建文件例外时,例外也适用于反恶意软件策略。 完整的文件例外列表显示在防恶意软件页面和SaaS安全API威胁防护页面上。

要为文件创建例外:

  1. 在导航菜单中,选择主页 > 事件

  2. 使用子类型SaaS安全API反恶意软件过滤事件。

  3. 时间列展开事件。

  4. 在事件中,单击文件哈希值链接。

    例外配置面板打开。

    exception_configuration.png

  5. 持续时间下拉菜单中选择文件从反恶意软件和NG反恶意软件引擎中排除的时间。

    要创建永久例外,请选择永久

  6. 单击应用

    例外已创建并添加到威胁防护选项卡中的文件例外部分,以及反恶意软件页面中。

    AM_FileExceptions.png

删除文件例外

当不再需要时,移除威胁防护策略的例外。

要移除威胁防护策略的文件例外:

  1. 从导航菜单中,单击安全性 > SaaS安全API策略

  2. 选择威胁防护选项卡。

  3. 文件例外部分中,单击Delete.png以删除您想要移除的例外。

  4. 单击保存

    例外已移除。

分析SaaS安全API事件

主页 > 事件 页面显示您账户的所有SaaS安全API事件。 强大的搜索工具可以让您深入分析,并识别包含您所需相关数据的少数事件。

可以通过以下字段标识SaaS安全API事件:

  • 事件类型 - 安全

  • 子类型 - SaaS安全API数据保护和SaaS安全API反恶意软件

您可以在插入40个字符的证书指纹代码了解更多关于使用事件屏幕的信息。 您可以使用SaaS 安全 API 数据保护预设来过滤事件。

解释SaaS安全API事件字段

字段名称

描述

连接器名称

为规则定义的连接器的名称

连接类型

为该连接器定义的SaaS应用

数据泄露防护配置文件

生成此事件的数据泄露防护内容配置文件

文件名称

附件文件的名称

完整路径 URL

生成此事件的文件、表格记录或附件的完整URL

匹配数据类型

在内容配置文件中与规则匹配的数据类型

对象名称

生成事件的ServiceNow对象的数据:

  • 对于表格,以格式<表格名称>/<项目编号>显示

  • 对于附件,显示相关表格记录的名称

对象类型

表格记录

所有者

所有者用户名

规则

数据保护策略中的规则名称

严重性

为规则定义的严重性

已知限制 - 支持的ServiceNow表格

本节列出了当前支持连接器的ServiceNow表格。 不支持的表格不会监控敏感数据。

  • 评论和工作备注不支持

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论