Introdução à integração do Microsoft DLP IR para prevenção de perda de dados

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Revise as informações a seguir antes de começar a configurar sua integração Microsoft DLP IR para prevenção de perda de dados.

    Tabela 1. Check-list
    Configuração de tarefa Descrição

    Obtenha as credenciais do Microsoft Purview para buscar os dados do evento e as credenciais da conta de armazenamento do AWS/Azure para armazenar o conteúdo de correspondência

    Registrar uma aplicação com a plataforma de identidade da Microsoft

    		 Registre uma aplicação na plataforma Microsoft Azure aqui para obter o ID do cliente, o segredo do cliente e o ID do locatário. Para obter informações sobre as funções necessárias para criar uma aplicação, consulte Pré-requisitos.

    Para obter informações sobre as permissões/funções de API necessárias em uma aplicação do Microsoft Azure para configurá-la na integração ServiceNow do Microsoft DLP, consulte a tabela a seguir.
    Permissões necessárias para que o usuário do Azure obtenha o acesso de leitura/gravação/exclusão de blob no armazenamento do Azure O usuário do Azure deve ter a função de colaborador de dados de blob de armazenamento para ler, gravar e excluir blobs no armazenamento do Azure.
    Permissões necessárias para que o usuário da AWS obtenha o acesso de leitura/gravação/exclusão de objeto no armazenamento da AWS Deve ser criada uma política que conceda acesso de lista, leitura, gravação e exclusão para o objeto no armazenamento S3 da AWS.
    Atribua e verifique se você tem as funções necessárias para Now Platform e as funções de Administração de perda de dados. As funções a seguir são necessárias para configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Store e atribui a função sn_dlir.admin.
    • A função sn_dlir.admin executa as seguintes tarefas:
      • Configura a integração.
      • Configura os perfis de incidentes.
    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração do Microsoft DLP IR estão instaladas e ativadas antes de configurar esta integração. Verifique se as seguintes DLP IR aplicações e aplicações comuns de suporte à segurança estão instaladas e ativadas na ServiceNow Store. Se não estiver instalado, instale e ative na aplicação.
    • Security Support Common
    • Data Loss Prevention Incident Response
    Tabela 2. Permissões/funções de API necessárias em uma aplicação do Microsoft AzureVocê precisa das seguintes permissões/funções de API em uma aplicação do Microsoft Azure para configurá-la na ServiceNow integração do Microsoft DLP.
    API Nome da permissão Tipo Descrição Necessário para qual funcionalidade da ServiceNow? O consentimento do administrador é necessário?
    API de gestão do Office 365 FeedDeAtividade.ReadDlp Aplicação Leia eventos de política da DLP, incluindo dados confidenciais detectados. Para ingerir os eventos do DLP do escopo do MSFT para ServiceNow.
    Nota:
    Esta permissão é obrigatória para obter os dados do MSFT em ServiceNow.
    		 Sim
    API do Microsoft Graph Files.Read.All Aplicação Leia arquivos em todos os conjuntos de sites que você pode acessar. Baixar arquivo: para baixar o anexo na instância da ServiceNow que causou o evento da DLP do OneDrive ou do SharePoint
    Nota:
    Isso é opcional. Você pode ignorar esta permissão de API se não quiser permitir que os analistas baixem o anexo que causou o evento da DLP.
    		 Sim
    E-mail.Lido Aplicação Leia e-mails em todas as caixas de correio. Baixar arquivo: para baixar o conteúdo do e-mail (corpo e anexo) na instância da ServiceNow que causou o evento DLP do Exchange.
    Nota:
    Isso é opcional. Você pode ignorar esta permissão de API se não quiser permitir que os analistas baixem o conteúdo de e-mail (corpo, anexo) que causou o evento da DLP.
    		 Sim
    User.Read Delegado Entre e leia o perfil do usuário. Esta é a permissão padrão que estará disponível para todas as novas aplicações. Não

    Informações confidenciais detectadas (opcional)

    O conteúdo de correspondência é armazenado externamente no armazenamento de blob do Azure ou no bucket do Amazon S3 e será extraído do armazenamento externo quando o usuário exibir um incidente.

    Qualquer uma das permissões a seguir será necessária se os usuários quiserem exibir a correspondência de conteúdo/informações confidenciais detectadas na aplicação DLP Core:
    1. Se você for um usuário Microsoft Azure, deverá ter a função de Colaborador de Dados de Blob de Armazenamento para ler, gravar e excluir blobs no Armazenamento do Azure.
    2. Se você for um usuário do Amazon S3, deverá criar uma política que forneça acesso de lista, leitura, gravação e exclusão para o objeto no armazenamento do Amazon S3.