Microsoft Exchange Online integration

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Pour l’application d’intégration Microsoft Exchange Online par ServiceNow, le Now Platform® Réponse aux incidents de sécurité produit (SIR) est intégré au Microsoft Exchange Online service, l’un des services basés sur le cloud de la Microsoft suite de produits Office 365. L’analyste SOC (Security Operation Center) peut rechercher les menaces liées à la sécurité dans l’environnement de messagerie de votre entreprise et supprimer et corriger les e-mails d’hameçonnage grâce aux fonctions de recherche et de suppression d’e-mails.

    Vue d'ensemble

    En tant qu’analyste des incidents de sécurité, vous exécutez l’intégration à partir de l’interface de l’analyste de sécurité, et le workflow renvoie les détails des e-mails qui correspondent aux critères de recherche. Les recherches d’e-mails sont basées sur des critères qui incluent les lignes d’objet ainsi que les adresses e-mail de l’expéditeur et du destinataire. Une fois la recherche d’e-mails terminée, vous pouvez supprimer les Microsoft Exchange Online e-mails suspects du service, et un processus d’approbation facultatif peut être configuré pour demander l’approbation avant de supprimer les e-mails.

    Cette intégration de recherche et de suppression d’e-mails peut être utilisée avec un workflow d’incident ou un runbook de réponse d’hameçonnage plus large. Une fois qu’un utilisateur ou un employé d’entreprise reçoit un e-mail suspect et le signale à l’équipe d’intervention ou à la boîte de réception de l’entreprise, l’e-mail signalé est transféré Now Platform et classé comme un incident de sécurité. Après avoir vérifié qu’un e-mail est une attaque d’hameçonnage, en tant qu’analyste responsable de l’enquête sur les incidents d’hameçonnage, vous pouvez lancer une recherche d’e-mails pour déterminer si d’autres utilisateurs d’entreprise ont reçu cet e-mail d’hameçonnage. La recherche vous permet de localiser les e-mails associés à la même campagne de phishing et d’identifier d’autres victimes potentielles qui ont pu recevoir l’e-mail, l’avoir lu et potentiellement cliquer sur une URL malveillante ou ouvrir une pièce jointe.

    Fonctionnalités principales

    L’intégration comprend les fonctionnalités clés suivantes :

    • Configurez les critères de recherche des menaces d’hameçonnage dans Réponse aux incidents de sécurité en fonction des combinaisons des champs expéditeur, destinataire et objet des messages électroniques.
    • Pour les recherches par e-mail volumineuses et longues, l’analyste des incidents de sécurité est informé par e-mail lorsque la recherche est terminée avec succès, ainsi que le nombre de messages correspondants.
    • L’état des messages individuels vous informe si les destinataires ont lu ou supprimé des e-mails suspects.
    • S’ils sont configurés, les processus d’approbation facultatifs garantissent que les e-mails suspects ne sont pas supprimés sans approbation préalable.
    • Une piste d’audit complète pour les demandes de suppression, qui inclut le nombre d’e-mails supprimés, est enregistrée dans les notes de travail des incidents de sécurité.
    • Si le balisage est configuré, les balises de sécurité enregistrent le lancement et l’exécution réussie des workflows de recherche et de suppression d’e-mails sur les incidents de sécurité.

    Versions prises en charge Microsoft Exchange Online

    Cette intégration prend en charge Microsoft Exchange Online les services, qui font partie de la Microsoft suite Office 365. L’intégration ne prend pas en charge les environnements Exchange hébergés Microsoft . Microsoft exécute Microsoft Exchange Online les services sur la version Exchange 2016.

    Prérequis

    Le module d’extension com.snc.si_dep est requis pour toute Now Platform version. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.

    Les applications suivantes Opérations de sécurité doivent être installées et activées à partir du ServiceNow Store. Installez, puis activez une application à la fois dans l’ordre indiqué ci-dessous pour assurer une installation fluide :
    1. Cadre de travail d’intégration de sécurité
    2. Security Support Common
    3. Orchestration du support de sécurité
    4. Réponse aux incidents de sécurité

    Architecture d’intégration et connexion des systèmes

    Pour plus d’informations sur l’architecture de l’intégration, y compris les termes clés et les détails de connexion des systèmes externes, reportez-vous à la section Architecture d’intégration et connexion de systèmes externes pour l’intégration Microsoft Exchange Online.

    Liste de vérification

    Les rubriques suivantes sont numérotées. Suivez les rubriques énumérées ci-dessous dans l’ordre dans lequel elles sont présentées pour une installation et une configuration fluides de l’application.

    Pour obtenir une liste de contrôle imprimable de ces étapes, reportez-vous à la section Liste de vérification pour l’intégration Microsoft Exchange Online. Vous pouvez utiliser cette liste pour surveiller votre progression pendant que vous accomplissez les tâches de bout en bout de l’installation de l’intégration, la configuration et la vérification des résultats.