Erste Schritte mit Microsoft Azure SentinelIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Aktivieren und einrichten Microsoft Azure Sentinel – Incident IngestionFür das Security Operations-Plugin, das mit Ihrem verbunden ist Now PlatformInstanz und Security Incident ResponseProdukt.

    Vorbereitungen

    Erforderliche Rolle: Microsoft AzureAnwendungsentwickler, Microsoft AzureMandantenadministrator

    Bevor Sie verwenden können Microsoft Azure SentinelIntegration, Sie müssen sie von herunterladen ServiceNow Store.

    Warum und wann dieser Vorgang ausgeführt wird

    Überprüfen Sie die folgende Setup-Prüfliste, und stellen Sie sicher, dass Sie alle Aufgaben für eine reibungslose Integration abgeschlossen haben.

    Tabelle : 1. Prüfliste
    Setup-Aufgabe Beschreibung
    Weisen Sie die erforderlichen zu, und verifizieren Sie sie Now PlatformUnd Security Incident ResponseRollen. Die folgenden Rollen sind für die Konfiguration und Verifizierung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration von ServiceNow StoreUnd weist die Rolle „sn_si.admin“ zu.
    • Die Rolle „sn_si.admin“ führt die folgenden Aufgaben aus:
      • Konfiguriert die Integration.
      • Erstellt Incident-Profile.
      • Ordnet zu Microsoft Azure SentinelIncident-Datenfelder zu den Security Incident-Feldern.
      • Plant die laufende Incident-Erfassung.
      • Aktiviert Incident-Updates, wenn ein Security Incident ResponseIncident wird erstellt oder geschlossen.
      • Weist die Rolle „Security Incident-Analyst“ (sn_si.Analyst) zu.
    Weisen Sie zu Microsoft AzureErforderliche Rollen. Die folgenden Rollen sind in erforderlich Microsoft AzureSo registrieren und konfigurieren Sie Ihre Anwendung:
    • Anwendungsentwickler für die Registrierung der Anwendung.
    • Mandantenadministrator für die Erteilung von Berechtigungen für die Anwendung durch Aufrufen des Endpunkts der Administratoreinwilligung.
    Überprüfen Sie, ob ServiceNowKernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert, bevor Sie diese Integration konfigurieren.

    Die ServiceNow IntegrationHubStarterpaket-Installationsprogramm [Plugin com.glide.hub.integrations] ist erforderlich.

    Die Security Incident ResponsePlugin (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen, die für die Integration erforderlich sind.

    Überprüfen Sie Folgendes Security OperationsAnwendungen werden über installiert und aktiviert ServiceNow Store. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie jede Anwendung einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation sicherzustellen:

    1. Security Incident Response
    2. Security Incident Response UI
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub-Aktionsschritt – REST (com.Glide.Hub.action_STEP.Rest)
    Registrieren und konfigurieren Sie Ihre Anwendung in Microsoft Azure Portal. Registrieren Sie Ihre Anwendung in Microsoft AzurePortal und gewähren Sie Ihren Anwendern Lese- und Schreibzugriff auf die Anwendung.