Integrationsarchitektur und externe Systemverbindung für Microsoft Exchange OnlineIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die Microsoft Exchange OnlineDie Integrationsarchitektur wurde entwickelt, um die Such- und Löschfunktionen für E-Mail-Bedrohungen in zu unterstützen Microsoft Exchange OnlineService. Diese Einführung erklärt, warum es Setup-Schritte gibt, die Sie in ausführen müssen MicrosoftMicrosoft Azure Event HubsAccounts vor der Installation von ServiceNowAnwendung.

    Die Integrationsarchitektur basiert auf Evaluierungen der derzeit verfügbaren Anwendungsprogrammierschnittstellen und mit Beratung von MicrosoftMicrosoft Azure Event HubsIntegrationspersonal. Diese Informationen sowie wichtige Terminologie zu Now PlatformUnd Microsoft Exchange OnlineService, wird bereitgestellt, um den konzeptionellen Betrieb der Integration zu klären.

    Schlüsselbegriffe, die für diese Integration verwendet werden

    Die folgenden Schlüsselbegriffe werden während der Installation und Konfiguration verwendet. Weitere Informationen zu den folgenden Begriffen finden Sie unter ServiceNow-Produktdokumentationswebsite Und Microsoft-Dokument-Website .

    Now Platform
    Ein Unternehmen ServiceNowProdukt. Die Now PlatformIst die Basis, auf der einzelne Komponenten wie die Reaktion auf Security Incidents (SIR), DAS IT-Servicemanagement (ITSM) und andere Produkte erstellt werden.
    Antwort auf Security Incidents (SIR)
    A Now PlatformAnwendung, die den Fortschritt von Security Incidents von der Discovery und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und Schließung von Security Incidents nachverfolgt.
    Microsoft Exchange Online
    Das E-Mail-Serviceangebot für Microsoft Exchange Online, Die Teil der Office 365-Suite von ist MicrosoftMicrosoft Azure Event HubsProdukte.
    Globale Diagramm-API
    Die von bereitgestellte API MicrosoftMicrosoft Azure Event HubsWird für den Zugriff auf Postfachinformationen in verwendet Microsoft Exchange Online.
    Zertifikatbasierte Authentifizierung
    Mit dieser Authentifizierung können Kunden zulassen oder verlangen, dass Anwender sich direkt mit X.509-Zertifikaten anhand ihres Azure Active Directory (Azure AD) für Anwendungen und der Browseranmeldung authentifizieren.
    OAUTH-Authentifizierung
    Eine ID, die in erstellt wurde MicrosoftMicrosoft Azure Event HubsAzure-Portal, das zum Sammeln zusätzlicher E-Mail-Nachrichtendetails und zum Löschen von E-Mails in verwendet wird Microsoft Exchange Online.
    Windows-Host
    Der spezifische Typ der virtuellen Maschine, die in dieser Integration verwendet wird.
    MID-Server
    A Now PlatformAnwendung, die die Kommunikation und den Datenverkehr zwischen erleichtert Now PlatformUnd externe Anwendungen, Datenquellen und Services. Ein MID-Server ist normalerweise für die Integration mit lokalen Technologien erforderlich, aber ein MID-Server kann in bestimmten Fällen zwischen bereitgestellt werden Now PlatformUnd ein cloudbasiertes Angebot, wenn eine vom Kunden bereitgestellte Komponente für die Integration erforderlich ist. Dafür Microsoft Exchange OnlineServiceintegration erleichtert der MID-Server die Kommunikation zwischen Now PlatformUnd den PowerShell-Server.
    PowerShell-Server
    Der PowerShell-Server ist eine Microsoft-Anwendung, die Ihre Microsoft-Account-Anmeldeinformationen erfordert.
    Security Incident-Administrator (sn_si.admin)
    Der Anwender mit der Rolle „sn_si.admin“ überwacht die Konfiguration der Integration mit dem SIR-Produkt in Ihrem Now PlatformInstanz. Der Anwender mit dieser Rolle genehmigt standardmäßig auch Löschanforderungen für E-Mails und weist die Rolle „sn_si.Analyst“ nach Bedarf zu. Der Anwender mit dieser Rolle hat auch die volle Kontrolle über alle ServicemanagementDaten.
    Security Incident-Analyst (sn_si.Analyst)
    Der Anwender mit der Rolle „sn_si.Analyst“ interagiert mit Security Incidents im SIR-Produkt und analysiert sie.

    Externe Systemverbindung für E-Mail-Suche und -Löschung

    Diese Anwendung verwendet den PowerShell-Service des Office 365-Sicherheits- und Compliance-Centers und den API-Service „Global Graph“, um Informationen vom Office 365 Exchange-Onlineservice-Mandanten abzurufen. Eine ausgehende HTTPS-Verbindung vom MID-Server zu dieser Umgebung ist erforderlich, damit die Integration ordnungsgemäß funktioniert.

    Die Integrationsarchitektur unterstützt eine E-Mail-Such- und -Löschfunktion in Microsoft Exchange OnlineService. Die Integrationsarchitektur zielt auf Phishing-E-Mails sowie andere E-Mail-Bedrohungen ab, die die Sicherheit Ihrer Organisation gefährden können. Um E-Mails abzurufen, die einem bestimmten Suchabfragekriterium entsprechen, die Now PlatformStellt eine Verbindung zu her Microsoft Exchange OnlineServicemandant, der einen MID-Server verwendet, der PowerShell auf einem Windows-Server ausführt.

    Nach Now PlatformIst mit verbunden Microsoft Exchange OnlineService unterstützt die Integration die folgenden Ebenen von E-Mail-Suchen:

    • Die übereinstimmenden Nachrichten: Diese Suche wird über das Microsoft PowerShell-Cmdlet über einen Windows-MID-Server durchgeführt, der eine Komponente von ist Now Platform. Diese Suche basiert auf Kriterien, die Sie in konfigurieren Now PlatformAus einem Security Incident. Die erste Komponente der Suche gibt alle E-Mail-Nachrichten zurück, die den von Ihnen konfigurierten Suchkriterien entsprechen, zusätzlich zu den spezifischen Postfachadressen, in denen diese Nachrichten gefunden werden können Microsoft Exchange Online. Die unterstützten Suchparameter sind Betreff der E-Mail-Nachricht, Absender und Empfänger (der Wert, der im Feld „an“ in einer E-Mail-Nachricht angezeigt wird).
    • Die Nachrichtendetails: Nachdem die erste PowerShell-Cmdlet-basierte Suche die übereinstimmenden Nachrichten identifiziert hat, ruft diese Suche zusätzliche Nachrichteninformationen mit ab MicrosoftMicrosoft Azure Event HubsGlobale Diagramm-API. Die zurückgegebenen E-Mail-Ergebnisse enthalten die folgenden Nachrichtendetails:
      • Lesestatus: Statusnachverfolgungen „wahr“ oder „falsch“, wenn Anwender E-Mails gelesen haben.
      • Absenderadresse.
      • Empfängeradresse: Diese Adressen umfassen Einzelpersonen, eine Gruppe und Einzelpersonen, die in Nachrichten cc und bcc enthalten sind.
      • Löschstatus: Statusnachverfolgungen „wahr“ oder „falsch“ gelöschte E-Mails.
      • Nachrichten-ID: Der alphanumerische Bezeichner von E-Mail-Nachrichten.

    Der Basisdaten-Flow der E-Mail-Suche nach der Anzahl der Nachrichten und den Nachrichtendetails wird in der folgenden Abbildung dargestellt.

    Abbildung : 1. E-Mail-Suche nach der Anzahl der Nachrichten und Nachrichtendetails
    Übersicht über den Daten-Flow der Integrations-E-Mail-Suche.

    Zum Löschen von E-Mails verwendet die Integration die API „Globales Diagramm“. Die Wiederherstellung gelöschter E-Mails ist während des Konfigurationsschritts als Option verfügbar und wird ausführlicher in beschrieben Konfigurieren Sie Microsoft Exchange OnlineIntegration mit Now PlatformInstanz.

    Der Datenflow zum Löschen von E-Mails mit dem vorkonfigurierten Genehmigungsprozess wird in der folgenden Abbildung dargestellt.

    Abbildung : 2. E-Mail löschen
    Datenflow zum Löschen von E-Mails.

    Flows

    Die Microsoft Exchange OnlineDie Anwendung für die E-Mail-Suche und -Löschung enthält die folgenden Flows:

    • Exchange-Online-E-Mails löschen.
    • Ruft Exchange Online-E-Mail-Details ab.
    • Microsoft Exchange Online – E-Mail suchen und löschen.

    Sie sind jetzt bereit, die Accounts einzurichten, die für die Integration erforderlich sind.