이 통합에 사용된 주요 용어

다음 주요 용어는 설치 및 구성 중에 사용됩니다. 다음 용어에 대한 자세한 내용은 ServiceNow 제품 설명서 웹 사이트 및 Microsoft Docs 웹 사이트를 참조하십시오.

Now Platform

엔터프라이즈 ServiceNow 제품입니다. Now Platform SIR(Security Incident Response), ITSM(IT Service Management) 및 기타 제품과 같은 개별 구성요소가 구축되는 기반입니다.

보안 인시던트 응답(SIR)

Now Platform 검색 및 초기 분석부터 방지, 근절 및 복구를 거쳐 최종 사후 인시던트 검토 및 종결에 이르는 보안 인시던트의 진행 상황을 추적하는 애플리케이션입니다.

Microsoft Exchange Online

에 대한 Microsoft Exchange Online메일 서비스 제공은 Office 365 제품군 Microsoft 의 일부입니다.

글로벌 그래프 API

에서 제공하는 Microsoft API는 의 사서함 정보에 Microsoft Exchange Online액세스하는 데 사용됩니다.

인증서 기반 인증

이 인증을 통해 고객은 애플리케이션 및 브라우저 로그인을 위해 Azure AD(Azure Active Directory)에 대해 X.509 인증서를 사용하여 직접 인증하도록 허용하거나 요구할 수 있습니다.

OAUTH 인증

Azure Portal에서 Microsoft 만든 ID는 추가 메일 메시지 세부 정보를 수집하고 에서 이메일을 Microsoft Exchange Online삭제하는 데 사용됩니다.

Windows 호스트

이 통합에 사용되는 특정 유형의 가상 머신입니다.

MID 서버

외부 Now Platform 애플리케이션, 데이터 소스 및 서비스 간의 데이터 이동 및 통신을 Now Platform 용이하게 하는 애플리케이션입니다. MID Server는 일반적으로 온프레미스 기술과의 통합에 필요하지만, 통합에 고객 제공 구성요소가 필요한 경우 MID Server와 클라우드 기반 오퍼링 간에 Now Platform MID Server가 배포될 수 있습니다. 이 Microsoft Exchange Online 서비스 통합의 경우 MID 서버는 PowerShell 서버와 PowerShell 서버 간의 Now Platform 통신을 용이하게 합니다.

PowerShell 서버

PowerShell 서버는 Microsoft 계정 자격 증명이 필요한 Microsoft 애플리케이션입니다.

보안 인시던트 관리자(sn_si.admin)

sn_si.admin 역할을 가진 사용자는 인스턴스에서 SIR 제품과의 통합 구성을 감독합니다 Now Platform . 또한 이 역할을 가진 사용자는 기본적으로 이메일에 대한 삭제 요청을 승인하고 필요에 따라 sn_si.analyst 역할을 할당합니다. 또한 이 역할을 가진 사용자는 모든 서비스 관리 데이터를 완전히 제어할 수 있습니다.

보안 인시던트 분석가(sn_si.analyst)

sn_si.analyst 역할을 가진 사용자는 SIR 제품의 보안 인시던트와 상호작용하고 이를 분석합니다.

이메일 검색 및 삭제를 위한 외부 시스템 연결

이 애플리케이션은 Office 365 보안 및 규정 준수 센터 PowerShell 서비스 및 Global Graph API 서비스를 사용하여 Office 365 Exchange Online 서비스 테넌트에서 정보를 검색합니다. 통합이 제대로 작동하려면 MID 서버에서 이 환경으로의 아웃바운드 HTTPS 연결이 필요합니다.

통합 아키텍처는 서비스에서 이메일 검색 및 삭제 기능을 Microsoft Exchange Online 지원합니다. 통합 아키텍처는 피싱 이메일뿐만 아니라 조직의 보안을 손상시킬 수 있는 기타 이메일 위협을 대상으로 합니다. 지정된 검색 쿼리 기준과 일치하는 이메일을 가져오기 위해 Windows Now Platform 서버에서 PowerShell을 실행하는 MID 서버를 사용하여 서비스 테넌트에 연결합니다 Microsoft Exchange Online .

가 Now Platform 서비스에 연결되면 Microsoft Exchange Online 통합은 다음 수준의 이메일 검색을 지원합니다.

• 일치하는 메시지: 이 검색은 의 구성요소 Now Platform인 Windows MID Server를 통해 Microsoft PowerShell cmdlet을 통해 수행됩니다. 이 검색은 보안 인시던트에서 Now Platform 구성하는 기준을 기반으로 합니다. 검색의 첫 번째 구성요소는 에서 이러한 메시지를 찾을 Microsoft Exchange Online수 있는 특정 사서함 주소 외에 구성한 검색 기준과 일치하는 모든 이메일 메시지를 반환합니다. 지원되는 검색 매개변수는 이메일 메시지 제목, 보낸 사람 및 수신자(이메일 메시지의 받는 사람 필드에 표시되는 값)입니다.
• 메시지 상세 정보: 초기 PowerShell cmdlet 기반 검색에서 일치하는 메시지를 식별한 후 이 검색은 전역 그래프 API를 Microsoft 사용하여 추가 메시지 정보를 검색합니다. 반환된 이메일 결과에는 다음과 같은 메시지 상세 정보가 포함됩니다.
  • 읽기 상태: 예 또는 아니오 상태는 사용자가 이메일을 읽었을 때를 추적합니다.
  • 보낸 사람 주소입니다.
  • 수신자 주소: 이러한 주소에는 개인, 그룹 및 메시지에 참조 및 숨은 참조로 표시된 개인이 포함됩니다.
  • 삭제 상태: True 또는 False 상태는 삭제된 이메일을 추적합니다.
  • 메시지 ID: 이메일 메시지의 영숫자 식별자입니다.

이메일의 기본 데이터 흐름은 메시지 수와 메시지 세부 정보를 검색하는 것으로 다음 그림에 설명되어 있습니다.

이메일 삭제의 경우 통합에서 전역 그래프 API를 사용합니다. 삭제된 이메일의 복구는 구성 단계에서 옵션으로 사용할 수 있으며 에 자세히 설명되어 있습니다 Microsoft Exchange Online 인스턴스와의 Now Platform 통합 구성.

미리 구성된 승인 프로세스를 사용하는 이메일 삭제의 데이터 플로우는 다음 그림에 설명되어 있습니다.

플로우

Microsoft Exchange Online 이메일 검색 및 삭제를 위한 애플리케이션에는 다음 플로우가 포함됩니다.

• Exchange Online-이메일 삭제.
• Exchange Online 이메일 상세 정보를 가져옵니다.
• Microsoft Exchange Online - 이메일 검색 및 삭제.

이제 통합에 필요한 계정을 설정할 준비가 되었습니다.