Démarrer l’intégration Microsoft Defender pour point de terminaison

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • La section suivante répertorie les tâches de configuration que vous devez effectuer dans votre Now Platform® instance avant d’installer l’application Microsoft Defender pour point de terminaison à partir du ServiceNow Store.

    Avant de commencer

    Rôle requis : administrateur

    Reportez-vous au tableau suivant et vérifiez que vous avez effectué toutes les tâches répertoriées avant de télécharger et d’installer l’application pour garantir une installation et une configuration fluides.

    Tâche de configuration Description
    Vérifiez que vous avez affecté les rôles requis Now Platform et Réponse aux incidents de sécurité (SIR). Les rôles suivants sont requis :
    1. Vous devez disposer du rôle d’administrateur système (admin) pour installer l’application pour l’intégration.
    2. Vous devez disposer du rôle d’administrateur d’incident de sécurité (sn_si.admin) pour configurer l’intégration, créer, activer et supprimer des profils.
    3. Vous devez avoir le rôle d’analyste des incidents de sécurité (sn_si.analyst) pour travailler avec les incidents de sécurité. Un utilisateur disposant de ce rôle peut initier n’importe laquelle des options disponibles dans l’intégration.
    Vérifiez que les applications principales de ServiceNow qui sont requises pour prendre en charge l’intégration sont installées et activées avant d’installer l’application.
    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour garantir une installation fluide :
    1. Réponse aux incidents de sécurité
    2. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    3. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Avant d’activer l’option d’approbation pour les profils, vérifiez que vous avez créé un groupe d’approbation. Un workflow d’approbation facultatif est disponible pour isoler les ordinateurs hôtes, les restaurer sur le réseau et exécuter des actions supplémentaires sur le point de terminaison.

    Si votre organisation souhaite un niveau supplémentaire de contrôle sur ces actions, activez l’option Exiger l’approbation pendant la configuration des profils.

    Dans un scénario où le profil est disponible, la configuration du profil pour approbation est prioritaire. Dans un scénario où le profil n’est pas disponible, les approbations sont traitées en fonction des paramètres par défaut.

    En tant qu’administrateur de sécurité, vous pouvez configurer l’approbation tout en configurant les profils et les paramètres par défaut. Un groupe d’approbation doit être disponible dans la liste Groupes de votre instance.

    Pour surveiller et traiter les demandes soumises par les utilisateurs disposant du rôle sn_si.analyste, chaque membre du groupe d’approbation doit accéder à Mes approbations dans le Now Platform®. Les approbateurs peuvent également trouver les demandes soumises exclusivement pour Microsoft Defender pour point de terminaison l’intégration sous le module Approbations. Pour plus d’informations sur la création d’un groupe d’utilisateurs, consultez Créer un groupe d’utilisateurs.

    Que faire ensuite

    Vous avez correctement configuré votre Now Platform® instance pour l’intégration Microsoft Defender pour point de terminaison . L’étape suivante consiste à installer l’application Microsoft Defender pour point de terminaison à partir de ServiceNow Store pour l’intégration.