Microsoft Exchange Online Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Bei der Integrationsanwendung Microsoft Exchange Online von ServiceNowwird das Produkt Now Platform® Security Incident Response (SIR) in den Service Microsoft Exchange Online integriert, einen der cloudbasierten Services in der Office 365-Produktsuite MicrosoftMicrosoft Azure Event Hubs. Ihr SOC-Analyst (Security Operation Center) kann die E-Mail-Umgebung Ihres Unternehmens nach sicherheitsbezogenen Bedrohungen durchsuchen und Phishing-E-Mails mit E-Mail-Such- und -Löschfunktionen entfernen und korrigieren.

    Übersicht

    Als Security Incident-Analyst führen Sie die Integration über die Schnittstelle für Sicherheitsanalysten aus, und der Workflow gibt E-Mail-Nachrichtendetails zurück, die den Suchkriterien entsprechen. E-Mail-Suchvorgänge basieren auf Kriterien wie Betreffzeilen sowie E-Mail-Adressen von Absendern und Empfängern. Nachdem die E-Mail-Suche abgeschlossen ist, können Sie verdächtige E-Mails aus dem Service Microsoft Exchange Online löschen. Außerdem kann ein optionaler Genehmigungsprozess konfiguriert werden, um vor dem Löschen von E-Mails eine Genehmigung anzufordern.

    Diese Integration zum Suchen und Löschen von E-Mails kann mit einem umfassenderen Workflow oder Runbook für Incidents zur Reaktion auf Phishing verwendet werden. Nachdem ein Unternehmensbenutzer oder Mitarbeiter eine verdächtige E-Mail erhalten und dem Phishing-Reaktionsteam oder dem Posteingang des Unternehmens gemeldet hat, wird die gemeldete E-Mail an Now Platform weitergeleitet und als Security Incident kategorisiert. Nachdem Sie verifiziert haben, dass es sich bei einer E-Mail um einen Phishing-Angriff handelt, können Sie als Analyst, der für die Untersuchung von Phishing-Incidents verantwortlich ist, eine E-Mail-Suche starten, um festzustellen, ob andere Unternehmensanwender diese Phishing-E-Mail erhalten haben. Mit der Suche können Sie zugehörige E-Mails aus derselben Phishing-Kampagne finden und andere potenzielle Opfer identifizieren, die die E-Mail möglicherweise erhalten und gelesen haben und möglicherweise auch auf eine schädliche URL geklickt oder einen Anhang geöffnet haben.

    Schlüsselfunktionen

    Die Integration umfasst die folgenden Schlüsselfunktionen:

    • Konfigurieren Sie Suchkriterien für Phishing-Bedrohungen in Security Incident Response basierend auf Kombinationen der Felder „Absender“, „Empfänger“ und „Betreff“ in E-Mail-Nachrichten.
    • Bei großen und langen E-Mail-Suchen wird der Security Incident-Analyst per E-Mail benachrichtigt, wenn die Suche erfolgreich abgeschlossen wurde, zusammen mit der Anzahl der übereinstimmenden Nachrichten.
    • Der Status für einzelne Nachrichten informiert Sie, wenn Empfänger verdächtige E-Mails gelesen oder gelöscht haben.
    • Wenn konfiguriert, stellen optionale Genehmigungsprozesse sicher, dass verdächtige E-Mails nicht ohne vorherige Genehmigung gelöscht werden.
    • Ein vollständiger Audit-Pfad für Löschanforderungen, der die Anzahl der gelöschten E-Mails enthält, wird in den Arbeitsnotizen von Security Incidents protokolliert.
    • Wenn Tagging konfiguriert ist, werden Sicherheits-Tags aufgezeichnet, wenn E-Mail-Such- und -Lösch-Workflows für Security Incidents initiiert und erfolgreich abgeschlossen werden.

    Unterstützte Versionen Microsoft Exchange Online.

    Diese Integration unterstützt Services vom Microsoft Exchange Online Typ , die Teil der Office 365-Suite MicrosoftMicrosoft Azure Event Hubs sind. Die Integration unterstützt keine gehosteten MicrosoftMicrosoft Azure Event Hubs Exchange-Umgebungen. MicrosoftMicrosoft Azure Event Hubs führt die Services Microsoft Exchange Online in der Exchange 2016-Version aus.

    Voraussetzungen

    Das Plugin „com.snc.si_dep“ ist für jede Now Platform -Version erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations -Anwendungen müssen über ServiceNow Storeinstalliert und aktiviert werden. Installieren Sie eine Anwendung nach der anderen in der unten aufgeführten Reihenfolge, und aktivieren Sie sie dann, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich wichtiger Begriffe und Details zu Verbindungen externer Systeme, finden Sie unter Integrationsarchitektur und externe Systemverbindung für die Microsoft Exchange Online -Integration.

    Prüfliste

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten in der Reihenfolge aufgeführten Themen, um eine reibungslose Installation und Konfiguration der Anwendung zu gewährleisten.

    Eine Prüfliste dieser Schritte zum Ausdrucken finden Sie unter Prüfliste für die Microsoft Exchange Online -Integration. Anhand dieser Liste können Sie Ihren Fortschritt überwachen, während Sie die End-to-End-Aufgaben der Einrichtung, Konfiguration und Überprüfung der Ergebnisse der Integration durchführen.