Microsoft Exchange Online intégration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Pour l’application d’intégration Microsoft Exchange Online par ServiceNow, le Now Platform® Réponse aux incidents de sécurité produit (SIR) est intégré au Microsoft Exchange Online service, l’un des services basés sur le cloud de la Microsoft suite de produits Office 365. L’analyste de votre centre des opérations de sécurité (SOC) peut rechercher des menaces liées à la sécurité dans votre environnement de messagerie d’entreprise, et supprimer et corriger les e-mails d’hameçonnage grâce à des fonctionnalités de recherche et de suppression d’e-mails.

    Vue d'ensemble

    En tant qu’analyste des incidents de sécurité, vous exécutez l’intégration à partir de l’interface de l’analyste de sécurité, et le workflow renvoie les détails des e-mails qui correspondent aux critères de recherche. Les recherches d’e-mails sont basées sur des critères qui incluent des lignes d’objet ainsi que les adresses e-mail de l’expéditeur et du destinataire. Une fois la recherche d’e-mails terminée, vous pouvez supprimer les Microsoft Exchange Online e-mails suspects du service. Un processus d’approbation facultatif peut être configuré pour demander l’approbation avant de supprimer les e-mails.

    Cette intégration de recherche et de suppression d’e-mails peut être utilisée avec un runbook ou un workflow de réponse au phishing plus large. Une fois qu’un utilisateur ou un employé de l’entreprise a reçu un e-mail suspect et l’a signalé à l’équipe de réponse anti-hameçonnage ou à la boîte de réception de l’entreprise, l’e-mail signalé est transféré à l’et Now Platform classé comme incident de sécurité. Après avoir vérifié qu’un e-mail est une attaque de hameçonnage, en tant qu’analyste responsable de l’enquête sur les incidents de hameçonnage, vous pouvez lancer une recherche d’e-mails pour déterminer si d’autres utilisateurs professionnels ont reçu cet e-mail d’hameçonnage. La recherche vous permet de localiser les e-mails associés à la même campagne d’hameçonnage et d’identifier d’autres victimes potentielles qui ont peut-être reçu l’e-mail, l’ont lu et ont potentiellement cliqué sur une URL malveillante ou ouvert une pièce jointe.

    Fonctionnalités principales

    L’intégration comprend les fonctionnalités clés suivantes :

    • Configurez les critères de recherche des menaces d’hameçonnage dans Réponse aux incidents de sécurité en fonction des combinaisons des champs d’expéditeur, de destinataire et d’objet des e-mails.
    • Pour les recherches d’e-mails longues et volumineuses, l’analyste des incidents de sécurité est informé par e-mail lorsque la recherche est terminée avec succès, ainsi que du nombre de messages correspondants.
    • L’état des messages individuels vous informe si les destinataires ont lu ou supprimé des e-mails suspects.
    • S’ils sont configurés, des processus d’approbation facultatifs garantissent que les e-mails suspects ne sont pas supprimés sans autorisation préalable.
    • Une piste d’audit complète pour les demandes de suppression, qui inclut le nombre d’e-mails supprimés, est consignée dans les notes de travail des incidents de sécurité.
    • Si le balisage est configuré, les balises de sécurité sont enregistrées lorsque les workflows de recherche et de suppression d’e-mails sont lancés et exécutés avec succès sur les incidents de sécurité.

    Versions prises en charge Microsoft Exchange Online

    Cette intégration prend en charge Microsoft Exchange Online les services qui font partie de la Microsoft suite Office 365. L’intégration ne prend pas en charge les environnements Exchange hébergés Microsoft . Microsoft exécute des Microsoft Exchange Online services sur la version Exchange 2016.

    Prérequis

    Le module d’extension com.snc.si_dep est requis pour n’importe quelle Now Platform version. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.

    Les applications suivantes Opérations de sécurité doivent être installées et activées à partir du ServiceNow Store. Installez, puis activez une application à la fois dans l’ordre indiqué ci-dessous pour garantir une installation fluide :
    1. Cadre de travail de Security Integration
    2. Security Support Common
    3. Orchestration de support de sécurité
    4. Réponse aux incidents de sécurité

    Architecture d’intégration et connexion des systèmes

    Pour plus d’informations sur l’architecture de l’intégration, y compris les termes clés et les détails de connexion des systèmes externes, reportez-vous Architecture d’intégration et connexion de systèmes externes pour l’intégration Microsoft Exchange Onlineà .

    Liste de vérification

    Les sujets suivants sont numérotés. Suivez les rubriques répertoriées ci-dessous dans l’ordre dans lequel elles sont présentées pour une installation et une configuration fluides de l’application.

    Pour obtenir une liste de contrôle imprimable de ces étapes, reportez-vous à la section Liste de vérification pour l’intégration Microsoft Exchange Online. Vous pouvez utiliser cette liste pour surveiller votre progression au fur et à mesure que vous accomplissez les tâches de bout en bout de l’installation de l’intégration, de la configuration et de la vérification des résultats.