Como configurar o Conector do Service Graph para Microsoft Defender Endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 4 min. de leitura

    • Extraia dados de máquinas que utilizam a solução de segurança Microsoft Defender for Endpoint no seu CMDB.

    Antes de Iniciar

    Para usar este Conector do Service Graph, você precisa de uma assinatura para uma Unidade de Assinatura baseada na aplicação Visibilidade IT Operations Management (ITOM) ou na aplicação Descoberta ITOM. Conforme definido na seção intitulada "Tipos de recurso de TI gerenciados" em Visão geral da unidade de assinatura da ServiceNow, para sua assinatura, para recursos de TI gerenciados criados ou modificados em CMDB por este Conector do Service Graph, mas que ainda não são gerenciados pela Visibilidade do ITOM ou pela Descoberta do ITOM, esses recursos aumentarão o consumo da Unidade de Assinatura dessa aplicação. Analise o consumo atual da unidade de assinatura na Visibilidade do ITOM ou no ITOM Discovery para garantir a capacidade disponível.

    Dependências e requisitos:
    • A aplicação da Store Componentes comuns de integração para CMDB, que é instalado automaticamente.
    • O app da Store dos Modelos de classe de IC do CMDB, que é instalado automaticamente. Consulte Aplicação da Store dos Modelos de classe de IC do CMDB.
    • O plug-in de licença da Descoberta do ITOM (com.snc.itom.discovery.license). Você deve ativar este plug-in.
    • Plug-in de licenciamento do ITOM (com.snc.itom.license). Para obter mais informações, consulte Solicitação da Descoberta.
    • O plug-in Datastream Action (com.glide.hub.action_type.datastream), que é instalado automaticamente.
    • Base para observabilidade para CMDB (sn_observability), que só é necessário para ingestão de eventos. Para que a Gestão de eventos funcione, o app Base para observabilidade para CMDB (sn_observability) precisa ser instalado antes da instalação do conector. Para mais informações, confira Base para observabilidade para CMDB em ServiceNow Store.
    Conclua as seguintes tarefas:
    • Instale a aplicação Conector do Service Graph para Microsoft Defender Endpoint (sn_defender_integ). Para mais informações, consulte Instalar uma aplicação da ServiceNow Store.
    • Verifique se você tem uma assinatura ativa do Microsoft Defender for Endpoint.
    • Certifique-se de ter criado uma aplicação do Azure para ter acesso programático ao Microsoft Defender for Endpoint. Consulte Usar o Microsoft Defender para APIs endpoint na documentação do Microsoft 365.
    • Obtenha a ID do locatário, a ID do cliente e os detalhes do segredo do cliente da conta do administrador do Microsoft Defender for Endpoint.
    • Habilite as permissões Machine.Read.All e Machine.ReadWrite.All no Microsoft Defender for Endpoint. Consulte Permissões para a API Listas máquinas na documentação do Microsoft 365.

    Função exigida: administrador

    Procedimento

    1. Certifique-se de que o escopo da aplicação está definido para a aplicação Conector do Service Graph para Microsoft Defender Endpoint usando o seletor de aplicações.
      Para obter mais informações, consulte Seletor de aplicações.
    2. Navegar até Todos > Service Graph Connectors > Microsoft Defender > Configuração.
    3. Na página de Introdução, selecione Introdução.
    4. Configure os detalhes de credenciais de autenticação para enviar solicitações à API Listar máquinas no Microsoft Defender for Endpoint.
      1. Configurar suas credenciais de autenticação do Microsoft Defender for Endpoint.
        1. Na seção Configurar conexão da página Conector do Service Graph para Microsoft Defender, selecione a tarefa Introdução.
        2. Para a tarefa Configurar as credenciais, selecione Configurar.
        3. No formulário, analise e modifique os campos.
          Tabela 1. Formulário de registros de aplicações
          Campo Descrição
          Nome da conexão Nome para identificar o registro de conexão.
          Nota:
          Este campo é definido automaticamente como o registro de conexão OAuth do SG Defender. Deixe o valor do campo como está.
          ID de cliente ID da aplicação (cliente) do seu Microsoft Defender for Endpoint conforme descrito na seção Antes de começar.
          Segredo do Cliente Segredo do cliente do seu Microsoft Defender for Endpoint conforme descrito na seção Antes de começar.
          URL do token Oauth URL do token do seu Microsoft Defender for Endpoint.
          Insira o URL do token no seguinte formato: 
          https://login.microsoftonline.com/<tenantid>/oauth2/v2.0/token
          Onde <tenantid> é a ID do locatário do seu Microsoft Defender for Endpoint, conforme descrito na seção Antes de começar.
        4. Selecione atualizar.
        5. Defina a tarefa Configurar as credenciais como concluída, clicando em Marcar como concluída.
      2. Teste a conexão da API Listar máquinas para importar dados relacionados às máquina do Microsoft Defender for Endpoint.
        1. Para a tarefa Testar conexão, selecione Configurar.
        2. Na página Conexões do Service Graph, selecione Testar conexão.
        3. Quando o campo Status estiver definido como Êxito, selecione Atualizar para fechar a caixa de diálogo Testar a conexão e retornar à página de configuração assistida.

          Se algum dos testes apresentar algum erro, siga as sugestões de correção.

        4. Defina a tarefa Testar conexão como concluída clicando em Marcar como Concluída.
    5. Configure os trabalhos agendados para importar dados relacionados a máquinas do Microsoft Defender for Endpoint.
      1. Na seção Configurar trabalhos de importação programados da página Conector do Service Graph para Microsoft Defender, selecione a tarefa Introdução.
      2. Para a tarefa Configurar trabalhos agendados, selecione Configurar.
      3. Na coluna Nome, Selecione o trabalho agendado que você deseja ativar.
        Por padrão, o trabalho agendado de máquinas do SG-Defender está disponível para executar a fonte de dados de máquinas do SG-Defender.
      4. No formulário Importação de dados agendada, verifique os valores de campos do trabalho agendado.
        Para obter mais informações, consulte Schedule a data import.
      5. Selecione Atualizar.
      6. Selecione o botão voltar do seu navegador para retornar à configuração assistida.
      7. Defina a tarefa Configurar os trabalhos agendados como concluída selecionando Marcar como concluída na configuração assistida.