Vue d’ensemble de l’intégration Microsoft Exchange Online

En tant qu’analyste des incidents de sécurité, vous exécutez l’intégration à partir de l’interface de l’analyste de sécurité, et le workflow renvoie les détails des e-mails qui correspondent aux critères de recherche. Les recherches d’e-mails sont basées sur des critères qui incluent les lignes d’objet ainsi que les adresses e-mail de l’expéditeur et du destinataire. Une fois la recherche d’e-mails terminée, vous pouvez supprimer les Microsoft Exchange Online e-mails suspects du service, et un processus d’approbation facultatif peut être configuré pour demander l’approbation avant de supprimer les e-mails.

Cette intégration de recherche et de suppression d’e-mails peut être utilisée avec un workflow d’incident ou un runbook de réponse d’hameçonnage plus large. Une fois qu’un utilisateur ou un employé d’entreprise reçoit un e-mail suspect et le signale à l’équipe d’intervention ou à la boîte de réception de l’entreprise, l’e-mail signalé est transféré ServiceNow AI Platform et classé comme un incident de sécurité. Après avoir vérifié qu’un e-mail est une attaque d’hameçonnage, en tant qu’analyste responsable de l’enquête sur les incidents d’hameçonnage, vous pouvez lancer une recherche d’e-mails pour déterminer si d’autres utilisateurs d’entreprise ont reçu cet e-mail d’hameçonnage. La recherche vous permet de localiser les e-mails associés à la même campagne de phishing et d’identifier d’autres victimes potentielles qui ont pu recevoir l’e-mail, l’avoir lu et potentiellement cliquer sur une URL malveillante ou ouvrir une pièce jointe.

Fonctionnalités principales

L’intégration comprend les fonctionnalités clés suivantes :

• Configurez les critères de recherche des menaces d’hameçonnage dans Réponse aux incidents de sécurité en fonction des combinaisons des champs expéditeur, destinataire et objet des messages électroniques.
• Pour les recherches par e-mail volumineuses et longues, l’analyste des incidents de sécurité est informé par e-mail lorsque la recherche est terminée avec succès, ainsi que le nombre de messages correspondants.
• L’état des messages individuels vous informe si les destinataires ont lu ou supprimé des e-mails suspects.
• S’ils sont configurés, les processus d’approbation facultatifs garantissent que les e-mails suspects ne sont pas supprimés sans approbation préalable.
• Une piste d’audit complète pour les demandes de suppression, qui inclut le nombre d’e-mails supprimés, est enregistrée dans les notes de travail des incidents de sécurité.
• Si le balisage est configuré, les balises de sécurité enregistrent le lancement et l’exécution réussie des workflows de recherche et de suppression d’e-mails sur les incidents de sécurité.

Versions prises en charge Microsoft Exchange Online

Cette intégration prend en charge Microsoft Exchange Online les services, qui font partie de la Microsoft suite Office 365. L’intégration ne prend pas en charge les environnements Exchange hébergés Microsoft . Microsoft exécute Microsoft Exchange Online les services sur la version Exchange 2016.

Prérequis

Le module d’extension com.snc.si_dep est requis pour toute ServiceNow AI Platform version. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.