Mise en route de l’intégration Microsoft Azure Sentinel

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Activez et configurez le Microsoft Azure Sentinel - Ingestion des incidents module d’extension for Security Operation pour qu’il s’interface avec votre instance et Réponse aux incidents de sécurité votre Now Platform produit.

    Avant de commencer

    Rôle requis : Microsoft Azure développeur d’application, Microsoft Azure administrateur locataire

    Avant de pouvoir utiliser l’intégration Microsoft Azure Sentinel , vous devez la télécharger à ServiceNow Storepartir du fichier .

    Pourquoi et quand exécuter cette tâche

    Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez effectué toutes les tâches pour une intégration fluide.

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles requis Now Platform et Réponse aux incidents de sécurité . Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir du ServiceNow Store rôle sn_si.admin et lui attribue le rôle.
    • Le rôle sn_si.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Crée des profils d’incidents.
      • Mappe les champs de Microsoft Azure Sentinel données d’incident aux champs d’incident de sécurité.
      • Planifie l’ingestion d’incident en cours.
      • Active les mises à jour d’incident lorsqu’un Réponse aux incidents de sécurité incident est créé ou fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    Affectez les Microsoft Azure rôles requis. Les rôles suivants sont nécessaires pour Microsoft Azure enregistrer et configurer votre application :
    • Développeur d’application pour l’enregistrement de l’application.
    • Administrateur locataire pour donner des autorisations à l’application en appelant le point de terminaison de consentement de l’administrateur.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le module d’extension ServiceNow Hub d'intégration Starter Pack Installer [com.glide.hub.integrations] est requis.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité
    2. Interface utilisateur Réponse aux incidents de sécurité
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Enregistrez et configurez votre application dans le Microsoft Azure portail. Enregistrez votre application dans le Microsoft Azure portail et accordez à vos utilisateurs un accès en lecture et en écriture à l’application.