Introdução à integração do Microsoft DLP IR para prevenção de perda de dados

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Revise as informações a seguir antes de começar a configurar sua integração Microsoft DLP IR para prevenção de perda de dados.

    Tabela 1. Check-list
    Configuração de tarefa Descrição

    Obtenha as credenciais do Microsoft Purview para buscar os dados do evento e as credenciais da conta de armazenamento do AWS/Azure para armazenar o conteúdo de correspondência

    Registrar uma aplicação com a plataforma de identidade da Microsoft

    		 Registre uma aplicação na plataforma Microsoft Azure aqui para obter o ID do cliente, o segredo do cliente e o ID do locatário. Para obter informações sobre as funções necessárias para criar uma aplicação, consulte Pré-requisitos.

    Para obter informações sobre as permissões/funções de API necessárias em uma aplicação do Microsoft Azure para configurá-la na ServiceNow integração do Microsoft DLP, consulte a tabela a seguir.
    Permissões necessárias para que o usuário do Azure obtenha o acesso de leitura/gravação/exclusão do blob no armazenamento do Azure O usuário do Azure deve ter a função de colaborador de dados de blob de armazenamento para ler, gravar e excluir blobs no armazenamento do Azure.
    Permissões necessárias para que o usuário da AWS obtenha o acesso de leitura/gravação/exclusão de objeto no armazenamento da AWS Deve ser criada uma política que forneça acesso de lista, leitura, gravação e exclusão para o objeto no armazenamento AWS S3.
    Atribua e verifique se você tem as funções necessárias para Now Platform e as funções de administração de perda de dados. As funções a seguir são necessárias para configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Store e atribui a função sn_dlir.admin.
    • A função sn_dlir.admin executa as seguintes tarefas:
      • Configura a integração.
      • Configura os perfis de incidentes.
    Verifique se as aplicações principais ServiceNow necessárias para oferecer suporte à integração do Microsoft DLP IR estão instaladas e ativadas antes de configurar esta integração. Verifique se as seguintes DLP IR aplicações e aplicações comuns de suporte de segurança estão instaladas e ativadas na ServiceNow Store. Se não estiver instalado, instale e ative na aplicação.
    • Security Support Common
    • Data Loss Prevention Incident Response
    Tabela 2. Permissões/funções de API necessárias em uma aplicação do Microsoft AzureVocê precisa das seguintes permissões/funções de API em uma aplicação do Microsoft Azure para configurá-la na ServiceNow integração do Microsoft DLP.
    API Nome da permissão Tipo Descrição Necessário para qual funcionalidade da ServiceNow? O consentimento do administrador é necessário?
    API de gestão do Office 365 FeedDeAtividade.ReadDlp Aplicação Ler eventos de política do DLP, incluindo dados confidenciais detectados. Para ingerir os eventos DLP do escopo da MSFT para ServiceNow.
    Nota:
    Esta permissão é obrigatória para obter os dados da MSFT em ServiceNow.
    		 Sim
    API do Microsoft Graph Arquivos.Leitura.Todos Aplicação Leia arquivos em todos os conjuntos de sites que você pode acessar. Baixar arquivo: para baixar o anexo na instância da ServiceNow que causou o evento DLP do OneDrive ou do SharePoint
    Nota:
    Isso é opcional. Você pode ignorar esta permissão de API se não quiser permitir que os analistas baixem o anexo que causou o evento DLP.
    		 Sim
    E-mail.Lido Aplicação Ler e-mails em todas as caixas de correio. Baixar arquivo: para baixar o conteúdo do e-mail (corpo e anexo) na instância da ServiceNow que causou o evento DLP do Exchange.
    Nota:
    Isso é opcional. Você pode ignorar esta permissão de API se não quiser permitir que os analistas baixem o conteúdo de e-mail (corpo, anexo) que causou o evento DLP.
    		 Sim
    User.Read Delegado Entre e leia o perfil do usuário. Esta é a permissão padrão que estará disponível para todas as novas aplicações. Não

    Informações confidenciais detectadas (opcional)

    O conteúdo de correspondência é armazenado externamente no armazenamento de blob do Azure ou no bucket do Amazon S3 e será extraído do armazenamento externo quando o usuário exibir um incidente.

    Qualquer uma das permissões a seguir será necessária se os usuários quiserem exibir a correspondência de conteúdo/informações confidenciais detectadas na aplicação DLP Core:
    1. Se você for um usuário Microsoft Azure, deverá ter a função de colaborador de dados de blob de armazenamento para ler, gravar e excluir blobs no armazenamento do Azure.
    2. Se você for um usuário do Amazon S3, deverá criar uma política que forneça acesso de lista, leitura, gravação e exclusão para o objeto no armazenamento do Amazon S3.