Architecture d’intégration et connexion de systèmes externes pour l’intégration Microsoft Exchange Online

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • L’architecture Microsoft Exchange Online d’intégration a été développée pour prendre en charge les fonctionnalités de recherche et de suppression des menaces par e-mail dans le Microsoft Exchange Online service. Cette introduction explique pourquoi il existe des étapes de configuration que vous devez effectuer dans vos Microsoft comptes avant d’installer l’application ServiceNow .

    L’architecture d’intégration est basée sur l’évaluation des interfaces de programmation d’applications actuellement disponibles et sur la consultation du personnel d’intégration Microsoft . Ces informations, ainsi que la Now Platform terminologie clé relative au et au Microsoft Exchange Online service, sont fournies pour clarifier le fonctionnement conceptuel de l’intégration.

    Termes clés utilisés pour cette intégration

    Les termes clés suivants sont utilisés lors de l’installation et de la configuration. Pour plus d’informations sur les conditions suivantes, consultez le site web de la documentation produit ServiceNow et le site web de la documentation Microsoft.

    Now Platform
    Un produit d’entreprise ServiceNow Il Now Platform s’agit de la base sur laquelle les composants individuels, tels que Security Incident Response (SIR), IT Service Management (ITSM) et d’autres produits sont construits.
    Réponse aux incidents de sécurité (SIR)
    Application Now Platform qui suit la progression des incidents de sécurité, depuis la détection et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à l’examen final et la fermeture post-incident.
    Microsoft Exchange Online
    Offre de service de messagerie pour Microsoft Exchange Online, qui fait partie de la suite de Microsoft produits Office 365.
    API du graphique global
    L’API fournie par Microsoft qui est utilisée pour accéder aux informations de la boîte de réception dans Microsoft Exchange Online.
    Authentification basée sur certificat
    Cette authentification permet aux clients d’autoriser ou d’exiger des utilisateurs qu’ils s’authentifient directement avec des certificats X.509 sur leur Azure Active Directory (Azure AD) pour les applications et la connexion au navigateur.
    Authentification OAuth
    ID créé dans le portail Azure, utilisé pour collecter des détails supplémentaires de messages Microsoft électroniques et pour supprimer des e-mails dans Microsoft Exchange Online.
    Hôte Windows
    Le type spécifique d’ordinateur virtuel utilisé dans cette intégration.
    Serveur MID
    Application Now Platform qui facilite la communication et le mouvement de données entre le et des Now Platform applications, sources de données et services externes. Un serveur MID est généralement requis pour l’intégration avec des technologies locales, mais un serveur MID peut être déployé dans certains cas entre le et une offre basée sur le Now Platform cloud lorsqu’un composant fourni par le client est requis pour l’intégration. Pour cette Microsoft Exchange Online intégration de services, le serveur MID facilite la communication entre le Now Platform serveur et le serveur PowerShell.
    Serveur PowerShell
    Le serveur PowerShell est une application Microsoft qui nécessite les informations d’identification de votre compte Microsoft.
    Administrateur d’incident de sécurité (sn_si.admin)
    L’utilisateur ayant le rôle sn_si.admin supervise la configuration de l’intégration au produit SIR dans votre Now Platform instance. L’utilisateur disposant de ce rôle approuve également les demandes de suppression d’e-mails par défaut et attribue le rôle sn_si.analyst si nécessaire. L’utilisateur disposant de ce rôle a également un contrôle total sur toutes les Gestion des services données.
    Analyste des incidents de sécurité (sn_si.analyst)
    L’utilisateur disposant du rôle sn_si.analyst interagit avec les incidents de sécurité dans le produit SIR et les analyse.

    Connexion à des systèmes externes pour la recherche et la suppression d’e-mails

    Cette application utilise le service PowerShell Centre de sécurité et de conformité Office 365 et le service Global Graph API pour récupérer des informations à partir du locataire de service Office 365 Exchange Online. Une connexion HTTPS sortante du MID Server vers cet environnement est nécessaire pour que l’intégration fonctionne correctement.

    L’architecture d’intégration prend en charge une fonctionnalité de recherche et de suppression d’e-mails dans le Microsoft Exchange Online service. L’architecture d’intégration cible les e-mails d’hameçonnage ainsi que d’autres menaces par e-mail susceptibles de compromettre la sécurité de votre organisation. Pour obtenir des e-mails qui correspondent à un critère de requête de recherche donné, le Now Platform se connecte à un Microsoft Exchange Online locataire de service à l’aide d’un serveur MID qui exécute PowerShell sur un serveur Windows.

    Une fois le Now Platform connecté au Microsoft Exchange Online service, l’intégration prend en charge les niveaux suivants de recherches d’e-mails :

    • Les messages correspondants : Cette recherche est effectuée via l’applet de commande Microsoft PowerShell via un serveur MID Windows qui est un composant de .Now Platform Cette recherche est basée sur des critères que vous configurez dans le Now Platform formulaire à partir d’un incident de sécurité. Le premier composant de la recherche renvoie tous les e-mails qui correspondent aux critères de recherche que vous avez configurés, ainsi que les adresses de boîtes aux lettres spécifiques dans lesquelles ces messages se trouvent dans Microsoft Exchange Online. Les paramètres de recherche pris en charge sont l’objet du message électronique, l’expéditeur et le destinataire (valeur affichée dans le champ Destinataire d’un message électronique).
    • Détails du message : Une fois que la recherche initiale basée sur l’applet de commande PowerShell a identifié les messages correspondants, cette recherche récupère des informations supplémentaires sur les messages à l’aide de l’API Microsoft Global Graph. Les résultats de l’e-mail renvoyé incluent les détails de message suivants :
      • État de lecture : l’état Vrai ou Faux suit le moment où les utilisateurs ont lu des e-mails.
      • Adresse de l’expéditeur.
      • Adresse du destinataire : ces adresses comprennent des individus, un groupe et des personnes qui sont en copie conforme et en cci sur les messages.
      • État de suppression : l’état Vrai ou Faux suit les e-mails supprimés.
      • ID du message : identificateur alphanumérique des messages électroniques.

    Le flux de données de base de l’e-mail recherche le nombre de messages et les détails des messages est illustré dans la figure suivante.

    Figure 1. Recherche d’e-mail pour le nombre de messages et les détails de messages
    Vue d’ensemble du flux de données de recherche d’e-mail d’intégration.

    Pour la suppression des e-mails, l’intégration utilise l’API Global Graph. La récupération des e-mails supprimés est disponible en option lors de l’étape de configuration et est décrite plus en détail dans Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.

    Le flux de données pour la suppression des e-mails avec le processus d’approbation préconfiguré est illustré dans la figure suivante.

    Figure 2. Suppression d’e-mail
    Flux de données pour la suppression d’e-mails.

    Workflows

    L’application Microsoft Exchange Online de recherche et de suppression d’e-mails inclut les workflows suivants :

    • Exchange Online : suppression des e-mails
    • Obtenir les détails de la messagerie Exchange Online.
    • Microsoft Exchange Online -Recherche et suppression d’e-mails.

    Pour plus d’informations, reportez-vous à la section Prise en main des workflows.

    Vous êtes maintenant prêt à configurer les comptes requis pour l’intégration.