Integrationsarchitektur und externe Systemverbindung für die Microsoft Exchange Online -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die Microsoft Exchange Online -Integrationsarchitektur wurde entwickelt, um die Such- und Löschfunktionen für E-Mail-Bedrohungen im Service Microsoft Exchange Online zu unterstützen. In dieser Einführung wird erläutert, warum Sie in Ihren MicrosoftMicrosoft Azure Event Hubs -Accounts einige Setup-Schritte ausführen müssen, bevor Sie die Anwendung ServiceNow installieren.

    Die Integrationsarchitektur basiert auf Bewertungen der derzeit verfügbaren Anwendungsprogrammierschnittstellen und auf Grundlage der Beratung durch das -Integrationspersonal von MicrosoftMicrosoft Azure Event Hubs. Diese Informationen sowie wichtige Begriffe zu den Services Now Platform und Microsoft Exchange Online werden bereitgestellt, um den konzeptionellen Betrieb der Integration zu verdeutlichen.

    Für diese Integration verwendete Schlüsselbegriffe

    Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration von verwendet. Weitere Informationen zu den folgenden Begriffen finden Sie auf der Website der ServiceNow-Produktdokumentation und auf der Microsoft-Dokumentationswebsite.

    Now Platform
    Ein Produkt des Unternehmens ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere -Produkte aufbauen.
    Security Incident Response (SIR)
    Eine Anwendung Now Platform, die den Fortschritt von Security Incidents von der Erkennung und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur abschließenden Überprüfung und Schließung nach Incident verfolgt.
    Microsoft Exchange Online
    Das E-Mail-Serviceangebot für Microsoft Exchange Online, das Teil der Office 365-Suite von MicrosoftMicrosoft Azure Event Hubs -Produkten ist.
    Global Graph API
    Die von MicrosoftMicrosoft Azure Event Hubs bereitgestellte API, die für den Zugriff auf Postfachinformationen in Microsoft Exchange Onlineverwendet wird.
    Zertifikatbasierte Authentifizierung
    Mit dieser Authentifizierung können Kunden zulassen oder von Anwendern die direkte Authentifizierung mit X.509-Zertifikaten bei Azure Active Directory (Azure AD) für Anwendungen und die Browseranmeldung verlangen.
    OAuth-Authentifizierung
    Eine im Azure-Portal MicrosoftMicrosoft Azure Event Hubs erstellte ID, die zum Sammeln zusätzlicher E-Mail-Nachrichtendetails und zum Löschen von E-Mails in Microsoft Exchange Onlineverwendet wird.
    Windows-Host
    Spezifischer Typ des virtuellen Computers, der in dieser Integration verwendet wird.
    MID-Server
    Eine Anwendung Now Platform erleichtert die Kommunikation und das Verschieben von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services. Ein MID-Server ist normalerweise für die Integration mit lokalen Technologien erforderlich. In bestimmten Fällen kann jedoch ein MID-Server zwischen Now Platform und einem cloudbasierten Angebot bereitgestellt werden, wenn für die Integration eine vom Kunden bereitgestellte Komponente erforderlich ist. Bei dieser Microsoft Exchange Online -Serviceintegration erleichtert der MID-Server die Kommunikation zwischen dem Now Platform und dem PowerShell-Server.
    PowerShell-Server
    Der PowerShell-Server ist eine Microsoft-Anwendung, die Ihre Microsoft-Anmeldeinformationen erfordert.
    Security Incident-Administrator (sn_si.admin)
    Der Benutzer mit der Rolle sn_si.admin überwacht die Konfiguration der Integration mit dem SIR-Produkt in Ihrer Instanz Now Platform. Benutzer mit dieser Rolle genehmigen standardmäßig auch Löschanforderungen für E-Mails und weisen bei Bedarf die Rolle sn_si.analyst zu. Der Benutzer mit dieser Rolle hat auch vollständige Kontrolle über alle Servicemanagement -Daten.
    Security Incident-Analyst (sn_si.analyst)
    Der Benutzer mit der Rolle sn_si.analyst interagiert mit Security Incidents im Produkt SIR und analysiert sie.

    Externe Systemverbindung zum Suchen und Löschen von E-Mails

    Diese Anwendung verwendet den PowerShell-Service „Office 365 Security and Compliance Center“ und den Global Graph API-Service, um Informationen vom Servicemandanten von Office 365 Exchange Online abzurufen. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

    Die -Integrationsarchitektur unterstützt die Funktion zum Suchen und Löschen von E-Mails im Service Microsoft Exchange Online. Die -Integrationsarchitektur zielt auf Phishing-E-Mails und andere E-Mail-Bedrohungen ab, die die Sicherheit Ihres Unternehmens gefährden können. Um E-Mails zu erhalten, die bestimmten Suchkriterien entsprechen, stellt der Now Platform eine Verbindung zu einem Microsoft Exchange Online -Servicemandanten her, der einen MID-Server verwendet, der PowerShell auf einem Windows-Server ausführt.

    Nachdem Now Platform mit dem Service Microsoft Exchange Online verbunden wurde, unterstützt die Integration die folgenden Ebenen der E-Mail-Suche:

    • Die übereinstimmenden Nachrichten: Diese Suche wird über das Microsoft PowerShell-Cmdlet über einen Windows-MID-Server durchgeführt, der eine Komponente von Now Platformist. Diese Suche basiert auf Kriterien, die Sie in Now Platform aus einem Security Incident konfigurieren. Die erste Komponente der Suche gibt alle E-Mail-Nachrichten zurück, die den von Ihnen konfigurierten Suchkriterien entsprechen, zusätzlich zu den spezifischen Postfachadressen, unter denen diese Nachrichten in Microsoft Exchange Onlinezu finden sind. Die unterstützten Suchparameter sind Betreff, Absender und Empfänger der E-Mail-Nachricht (der Wert, der im Feld An in einer E-Mail-Nachricht angezeigt wird).
    • Die Nachrichtendetails: Nachdem die anfängliche Suche auf Basis von PowerShell-Cmdlets die übereinstimmenden Nachrichten identifiziert hat, ruft diese Suche mithilfe der Global Graph API MicrosoftMicrosoft Azure Event Hubs zusätzliche Nachrichteninformationen ab. Die zurückgegebenen E-Mail-Ergebnisse enthalten die folgenden Nachrichtendetails:
      • Lesestatus: Der Status „Wahr“ oder „falsch“ verfolgt, wenn Anwender E-Mails gelesen haben.
      • Absenderadresse.
      • Empfängeradresse: Diese Adressen umfassen Einzelpersonen, eine Gruppe und Personen, die in Nachrichten auf CC gesetzt und auf BCC gesetzt werden.
      • Löschstatus: Der Status „Wahr“ oder „falsch“ verfolgt gelöschte E-Mails.
      • Nachrichten-ID: Der alphanumerische Bezeichner von E-Mail-Nachrichten.

    In der folgenden Abbildung ist der grundlegende Daten-Flow der E-Mail-Suche nach Nachrichtenanzahl und Nachrichtendetails dargestellt.

    Abbildung : 1. E-Mail-Suche nach Anzahl der Nachrichten und Nachrichtendetails
    Übersicht über den Daten-Flow der Integrations-E-Mail-Suche.

    Zum Löschen von E-Mails verwendet die Integration die Global Graph API. Die Wiederherstellung gelöschter E-Mails ist als Option während des Konfigurationsschritts verfügbar und wird ausführlicher unter Konfigurieren Sie die Microsoft Exchange Online -Integration mit Ihrer -Instanz Now Platform .beschrieben.

    In der folgenden Abbildung ist der Datenfluss zum Löschen von E-Mails mit dem vorkonfigurierten Genehmigungsprozess dargestellt.

    Abbildung : 2. E-Mail löschen
    Datenfluss zum Löschen von E-Mails.

    Flows

    Die Anwendung Microsoft Exchange Online zum Suchen und Löschen von E-Mails enthält die folgenden Flows:

    • Exchange online – E-Mails löschen.
    • Ruft Exchange Online-E-Mail-Details ab.
    • Microsoft Exchange Online -E-Mails suchen und löschen.

    Sie können jetzt die für die Integration erforderlichen Accounts einrichten.