Prise en main de l’intégration Microsoft DLP IR pour la protection contre la perte de données

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Passez en revue les informations suivantes avant de commencer à configurer votre Microsoft DLP IR intégration pour la protection contre la perte de données.

    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Obtenir les informations d’identification Microsoft Purview pour extraire les données d’événement et les informations d’identification de compte de stockage AWS/Azure pour stocker le contenu de la correspondance

    Enregistrer une application auprès de Microsoft Identity Platform

    		 Enregistrez une application sur la plateforme Microsoft Azure à partir d’ici pour obtenir l’ID client, le secret client et l’ID de locataire. Pour en savoir plus sur les rôles requis pour créer une application, consultez Conditions préalables.

    Pour en savoir plus sur les autorisations/rôles d’API requis sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration DLP Microsoft, consultez le tableau suivant.
    Autorisations requises pour que l’utilisateur Azure obtienne l’accès de l’objet blob en lecture/écriture/suppression sur le stockage Azure L’utilisateur Azure doit avoir le rôle Contributeur de données d’objet blob de stockage pour lire, écrire et supprimer des objets blob sur le stockage Azure.
    Autorisations requises pour que l’utilisateur AWS obtienne l’accès à l’objet en lecture/écriture/suppression sur AWS Storage Une politique doit être créée qui donne l’accès en liste, en lecture, en écriture et en suppression pour l’objet dans AWS S3 Storage.
    Affectez et vérifiez si vous disposez des rôles requis pour Now Platform les rôles d’administration des pertes de données. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir du ServiceNow Store rôle sn_dlir.admin et lui attribue le rôle.
    • Le rôle sn_dlir.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Configure les profils d’incident.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration Microsoft DLP IR sont installées et activées avant de configurer cette intégration. Vérifiez que les applications courantes et la sécurité suivantes DLP IR prennent en charge les applications courantes sont installées et activées à partir du ServiceNow Store. Si ce n’est pas le cas, installez-le et activez-le dans l’application.
    • Security Support Common
    • Data Loss Prevention Incident Response
    Tableau 2. Autorisations/rôles API requis sur une application Microsoft AzureVous avez besoin des autorisations/rôles d’API suivants sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration DLP Microsoft.
    API Nom d’autorisation Type Description Pour quelle fonctionnalité ServiceNow est-elle requise ? Le consentement de l’administrateur est-il requis ?
    API de gestion Office 365 ActivityFeed.ReadDlp Application Lisez les événements de politique DLP, y compris les données sensibles détectées. Pour ingérer les événements DLP de MSFT Purview vers ServiceNow.
    Remarque :
    Cette autorisation est indispensable pour obtenir les données MSFT dans ServiceNow.
    		 Oui
    Microsoft Graph API Fichiers.Lecture.Tout Application Lisez les fichiers de toutes les collections de sites auxquelles vous pouvez accéder. Télécharger le fichier : pour télécharger la pièce jointe sur l’instance ServiceNow à l’origine de l’événement DLP à partir de OneDrive ou SharePoint
    Remarque :
    Ceci est facultatif. Vous pouvez ignorer cette autorisation d’API si vous ne souhaitez pas autoriser les analystes à télécharger la pièce jointe à l’origine de l’événement DLP.
    		 Oui
    Courrier.Lecture Application Lire le courrier dans toutes les boîtes aux lettres. Télécharger le fichier : pour télécharger le contenu de l’e-mail (corps et pièce jointe) sur l’instance ServiceNow à l’origine de l’événement DLP à partir d’Exchange.
    Remarque :
    Ceci est facultatif. Vous pouvez ignorer cette autorisation API si vous ne souhaitez pas autoriser les analystes à télécharger le contenu de l’e-mail (corps, pièce jointe) à l’origine de l’événement DLP.
    		 Oui
    Utilisateur.Lecture Délégué Connectez-vous et lisez le profil d’utilisateur. Il s’agit de l’autorisation par défaut qui sera disponible pour toutes les nouvelles applications. Non

    Informations sensibles détectées (facultatif)

    Le contenu de la correspondance est stocké en externe dans le stockage Azure Blob ou la catégorie Amazon S3 et est extrait du stockage externe lorsque l’utilisateur consulte un incident.

    L’une des autorisations suivantes est requise si les utilisateurs souhaitent afficher le contenu des correspondances/les informations sensibles détectées dans l’application DLP Core :
    1. Si vous êtes un Microsoft Azure utilisateur, vous devez avoir le rôle Contributeur de données d’objet blob de stockage pour lire, écrire et supprimer des objets blob sur le stockage Azure.
    2. Si vous êtes un utilisateur Amazon S3, vous devez créer une politique qui donne l’accès à la liste, en lecture, en écriture et en suppression pour l’objet dans Amazon S3 Storage.