Come Defender for Cloud Apps aiuta a proteggere l'ambiente Workday

Come soluzione HCM principale, Workday contiene alcune delle informazioni più sensibili dell'organizzazione, ad esempio i dati personali dei dipendenti, i contratti, i dettagli del fornitore e altro ancora. Per impedire l'esposizione di questi dati è necessario un monitoraggio continuo per impedire a tutti gli attori malintenzionati o agli addetti ai lavori non consapevoli della sicurezza di esfiltrare le informazioni sensibili.

La connessione di Workday a Defender for Cloud Apps offre informazioni dettagliate migliorate sulle attività degli utenti e fornisce il rilevamento delle minacce per comportamenti anomali.

Minacce principali

Le distribuzioni di Workday in genere affrontano le minacce seguenti:

  • Account compromessi e minacce interne
  • Perdita di dati
  • Insufficiente consapevolezza della sicurezza
  • Bring Your Own Device (BYOD) non gestito

Come Defender for Cloud Apps aiuta a proteggere l'ambiente

Usare le indicazioni seguenti per proteggere l'ambiente Workday con Defender for Cloud Apps:

Gestisci Workday con criteri e modelli di criterio integrati

È possibile usare i modelli di criteri predefiniti seguenti per rilevare e inviare notifiche sulle potenziali minacce:

Tipo Nome
Criterio di rilevamento delle anomalie integrato Attività da indirizzi IP anonimi
Attività da Paesi poco frequenti
Attività da indirizzi IP sospetti
Viaggio impossibile
Modello di criteri per le attività Accesso da un indirizzo IP rischioso

Per altre informazioni sulla creazione di criteri, vedere Creare un criterio.

Automatizzate i controlli di governance

Attualmente non sono disponibili controlli di governance per Workday. Se si è interessati a avere azioni di governance per questo connettore, è possibile aprire un ticket di supporto Microsoft Defender con i dettagli delle azioni desiderate.

Per altre informazioni sulla mitigazione delle minacce provenienti dalle app, vedere Gestione delle app connesse.

Proteggere Workday in tempo reale

Esaminare le procedure consigliate per la protezione e la collaborazione con utenti esterni e il blocco e la protezione del download di dati sensibili in dispositivi non gestiti o rischiosi.

Connetti Workday a Microsoft Defender per Cloud Apps

Le istruzioni seguenti illustrano come connettersi Microsoft Defender for Cloud Apps all'account Workday esistente usando l'API del connettore app. Questa connessione offre visibilità e controllo sull'uso di Workday. Per informazioni su come Defender for Cloud Apps protegge Workday, vedere Proteggere Workday.

Guida introduttiva

Guardare il video introduttivo che illustra come configurare i prerequisiti ed eseguire i passaggi in Workday. Dopo aver completato i passaggi nel video, è possibile procedere con l'aggiunta del connettore Workday.

Nota

Il video non mostra il passaggio prerequisito per la configurazione del gruppo di sicurezza Configura: Configurazione tenant - Autorizzazione di sistema . Assicurarsi di configurarlo.


Prerequisiti

L'account Workday usato per la connessione a Defender for Cloud Apps deve essere un membro di un gruppo di sicurezza (nuovo o esistente). È consigliabile usare un utente del sistema di integrazione workday. Il gruppo di sicurezza deve avere le autorizzazioni seguenti selezionate per i criteri di sicurezza di dominio seguenti:

Area funzionale Criteri di sicurezza del dominio Criteri di sicurezza del sottodominio Autorizzazioni per report/attività Autorizzazioni di integrazione
Sistema Configurazione: Configurazione del tenant – Generale Configurazione: Configurazione del tenant – Sicurezza Visualizza Get, Put
Sistema Configurazione: Configurazione del tenant – Generale Impostazione: Configurazione tenant – Sistema Visualizza Nessuno
Sistema Amministrazione della sicurezza Visualizza Ottieni, Inserisci
Sistema Controllo di sistema Visualizza Ottieni
Personale Dati del lavoratore: Personale Dati dei lavoratori: report sui lavoratori pubblici Visualizza Ottieni

Nota

  • L'account usato per configurare le autorizzazioni per il gruppo di sicurezza deve essere un amministratore di Workday.
  • Per impostare le autorizzazioni, cercare "Criteri di sicurezza del dominio per l'area funzionale", quindi cercare ogni area funzionale ("Sistema"/"Personale") e concedere le autorizzazioni elencate nella tabella.
  • Dopo aver impostato tutte le autorizzazioni, cercare "Attiva modifiche ai criteri di sicurezza in sospeso" e approvare le modifiche.

Per altre informazioni sulla configurazione di utenti di integrazione, gruppi di sicurezza e autorizzazioni di Workday, vedere i passaggi da 1 a 4 della guida Grant Integration o External Endpoint Access to Workday (accessibile con la documentazione di Workday/credenziali della community).

Come connettere Workday a Defender per Cloud Apps tramite OAuth

Per preparare la connessione OAuth, seguire questa procedura in Workday:

  1. Accedere a Workday con un account membro del gruppo di sicurezza indicato nei prerequisiti.

  2. Cercare "Modifica configurazione tenant - sistema" e in Registrazione attività utente selezionare Abilita registrazione attività utente.

    Screenshot della pagina di configurazione del tenant di Workday con l'opzione Abilita registrazione attività utente selezionata.

  3. Cercare "Modifica configurazione tenant - sicurezza" e in Impostazioni di OAuth 2.0 selezionare Client OAuth 2.0 abilitati.

  4. Cerca "Register API Client" e seleziona Register API Client – Task.

  5. Nella pagina Registra client API compilare le informazioni seguenti e quindi selezionare OK.

    Nome del campo Valore
    Nome cliente Microsoft Defender for Cloud Apps per la sicurezza delle app cloud
    Tipo di concessione del client Concessione del codice di autorizzazione
    Tipo di token di accesso Portatore
    URI di reindirizzamento https://portal.cloudappsecurity.com/api/oauth/connect

    Nota: per i clienti GCC High del Governo degli Stati Uniti, immettere il seguente valore: https://portal.cloudappsecurity.us/api/oauth/connect
    Token di aggiornamento non in scadenza
    Ambito (aree funzionali) Personale e sistema

    Schermata della pagina del client dell'API di registrazione di Workday con i campi nome client, tipo di autorizzazione e ambito.

  6. Dopo la registrazione, prendere nota dei parametri seguenti e quindi selezionare Fine.

    • ID cliente
    • Segreto del client
    • Endpoint dell'API REST di Workday
    • Token Endpoint
    • Endpoint di autorizzazione

    Schermata della conferma della registrazione del client API Workday che mostra i valori dell'ID client, del segreto client e dell'endpoint.

Nota

Se l'account Workday è abilitato con SAML SSO, aggiungere il parametro 'redirect=n' della stringa di query all'endpoint di autorizzazione.

Se l'endpoint di autorizzazione ha già altri parametri della stringa di query, accodare '&redirect=n' alla fine dell'endpoint di autorizzazione. Se l'endpoint di autorizzazione non dispone di parametri di stringa di query, aggiungere '?redirect=n' alla fine dell'endpoint di autorizzazione.

Come connettersi Defender for Cloud Apps a Workday

Completare i passaggi seguenti in Microsoft Defender for Cloud Apps per aggiungere il connettore Workday:

  1. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse, seleziona Connettori app.

  2. Nella pagina Connettori app selezionare +Connetti un'app e quindi Workday.

    Schermata della pagina Connettori applicazioni con l'opzione Connetti un'app e Workday selezionato.

  3. Nella schermata successiva assegnare un nome al connettore e quindi selezionare Avanti.

    Schermata della pagina di configurazione del connettore dell'app Workday contenente il campo del nome dell'istanza del connettore.

  4. Nella pagina Immettere i dettagli compilare i dettagli con le informazioni annotate in precedenza e quindi selezionare Avanti.

    Schermata della pagina Inserisci dettagli del connettore Workday con i campi ID client, Chiave segreta client ed endpoint.

  5. Nella pagina Collegamento esterno selezionare Connetti Workday.

  6. In Workday viene visualizzato un popup che chiede se si vuole consentire Defender for Cloud Apps l'accesso all'account Workday. Per continuare, selezionare Consenti.

    Schermata della richiesta di autorizzazione di Workday che chiede di consentire a Defender for Cloud Apps di accedere all'account.

  7. In Defender for Cloud Apps verrà visualizzato un messaggio che informa che Workday è stato connesso correttamente.

  8. Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. In App connesse, seleziona Connettori app. Assicurarsi che lo stato dell'App Connector connesso sia Connected.

Nota

Dopo aver connesso Workday, si riceveranno eventi per sette giorni prima della connessione.

Nota

Se si connette Defender for Cloud Apps a un account sandbox di Workday per eseguire test, tenere presente che Workday aggiorna il proprio account sandbox ogni settimana, causando l'errore della connessione a Defender for Cloud Apps. È consigliabile riconnettere l'ambiente sandbox ogni settimana con Defender for Cloud Apps per continuare i test.

In caso di problemi di connessione dell'app, vedere Risoluzione dei problemi relativi ai connettori di app.

Passaggi successivi

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.