Erste Schritte mit der Microsoft-Integration DLP IR zur Verhinderung von Datenverlust

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Lesen Sie sich die folgenden Informationen durch, bevor Sie mit der Einrichtung Ihrer MicrosoftMicrosoft Azure Event Hubs DLP IR -Integration zur Verhinderung von Datenverlust beginnen.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung

    Rufen Sie die Microsoft Purview-Anmeldeinformationen ab, um die Ereignisdaten abzurufen, und die Anmeldeinformationen für das AWS/Azure Storage-Konto, um den Übereinstimmungsinhalt zu speichern

    Registrieren Sie eine Anwendung bei der Microsoft Identity Platform

    		 Registrieren Sie hier eine Anwendung auf der Microsoft Azure-Plattform, um die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID zu erhalten. Informationen zu den Rollen, die zum Erstellen einer Anwendung erforderlich sind, finden Sie unter Voraussetzungen.

    Informationen zu den API-Berechtigungen/-Rollen, die für eine Microsoft Azure-Anwendung erforderlich sind, um sie in der Microsoft DLP-Integration ServiceNow zu konfigurieren, finden Sie in der folgenden Tabelle.
    Berechtigungen, die für den Azure-Anwender erforderlich sind, um Lese-/Schreib-/Löschzugriff für Blobs in Azure Storage zu erhalten Der Azure-Anwender muss die Rolle „Beitragender für Speicher-Blobdaten“ haben, um Blobs in Azure Storage zu lesen, zu schreiben und zu löschen.
    Berechtigungen, die für den AWS-Anwender erforderlich sind, um Lese-/Schreib-/Löschobjekte in AWS Storage zu erhalten Es muss eine Richtlinie erstellt werden, die Listen-, Lese-, Schreib- und Löschzugriff für das Objekt in AWS S3-Speicher gewährt.
    Weisen Sie zu und überprüfen Sie, ob Sie über die erforderlichen Rollen für Now Platform und die Rollen für die Verwaltung von Datenverlust verfügen. Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration aus ServiceNow Store und weist die Rolle sn_dlir.admin zu.
    • Die Rolle sn_dlir.admin führt die folgenden Aufgaben aus:
      • Konfiguriert die Integration.
      • Richtet die Incident-Profile ein.
    Stellen Sie sicher, dass die ServiceNow Core-Anwendungen, die zur Unterstützung der Microsoft-Integration DLP IR erforderlich sind, installiert und aktiviert sind, bevor Sie diese Integration konfigurieren. Vergewissern Sie sich, dass die folgenden DLP IR -Anwendungen und allgemeinen Anwendungen zur Unterstützung der Sicherheit im ServiceNow -Store installiert und aktiviert sind. Wenn nicht installiert, installieren und aktivieren Sie in der Anwendung.
    • Security Support Common
    • Reaktion auf Incident zur Vermeidung von Datenverlust
    Tabelle : 2. Erforderliche API-Berechtigungen/-Rollen für eine Microsoft Azure-AnwendungSie benötigen die folgenden API-Berechtigungen/Rollen in einer Microsoft Azure-Anwendung, um sie in der Microsoft DLP-Integration ServiceNow zu konfigurieren.
    API Berechtigungsname Typ Beschreibung Für welche Funktion von ServiceNow erforderlich? Ist Administratorzustimmung erforderlich?
    Office 365 Management API Aktivitäts-Feed.LesenDLP Anwendung Lesen Sie DLP-Richtlinienereignisse einschließlich erkannter vertraulicher Daten. Erfassung der DLP-Ereignisse aus MSFT-Purview in ServiceNow.
    Hinweis:
    Diese Berechtigung ist erforderlich, um die MSFT-Daten in ServiceNowabzurufen.
    		 Ja
    Microsoft Graph-API Dateien.Lesen.Alle Anwendung Lesen Sie Dateien in allen Websitesammlungen, auf die Sie zugreifen können. Datei herunterladen: Zum Herunterladen des Anhangs in der ServiceNow-Instanz, der das DLP-Ereignis von OneDrive oder SharePoint verursacht hat
    Hinweis:
    Dies ist optional. Sie können diese API-Berechtigung überspringen, wenn Sie nicht möchten, dass die Analysten den Anhang herunterladen, der das DLP-Ereignis verursacht hat.
    		 Ja
    E-Mail.Lesen Anwendung E-Mails in allen Postfächern lesen. Datei herunterladen: Zum Herunterladen des E-Mail-Inhalts (Text und Anhang) in der ServiceNow-Instanz, die das DLP-Ereignis von Exchange verursacht hat.
    Hinweis:
    Dies ist optional. Sie können diese API-Berechtigung überspringen, wenn Sie nicht möchten, dass die Analysten den E-Mail-Inhalt (Text, Anhang) herunterladen, der das DLP-Ereignis verursacht hat.
    		 Ja
    Anwender.Lesen Delegiert Melden Sie sich an, und lesen Sie das Anwenderprofil. Dies ist die Standardberechtigung, die für alle neuen Anwendungen verfügbar ist. Nein

    Erkannte sensible Informationen (optional)

    Der Übereinstimmungsinhalt wird extern in Azure Blob Storage oder einem Amazon S3-Bucket gespeichert und aus dem externen Speicher abgerufen, wenn der Benutzer einen Incident anzeigt.

    Eine der folgenden Berechtigungen ist erforderlich, wenn Anwender den Abgleichinhalt/die erkannten vertraulichen Informationen in der DLP Core-Anwendung anzeigen möchten:
    1. Wenn Sie ein Microsoft Azure -Benutzer sind, müssen Sie über die Rolle Beitragender zu Speicher-Blobdaten verfügen, um Blobs in Azure Storage zu lesen, zu schreiben und zu löschen.
    2. Wenn Sie ein Amazon S3-Benutzer sind, müssen Sie eine Richtlinie erstellen, die Listen-, Lese-, Schreib- und Löschzugriff für das Objekt im Amazon S3-Speicher gewährt.