Erste Schritte mit der Microsoft DLP IR -Integration zur Verhinderung von Datenverlust

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Überprüfen Sie die folgenden Informationen, bevor Sie mit der Einrichtung Ihrer Microsoft DLP IR -Integration zur Verhinderung von Datenverlust beginnen.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung

    Rufen Sie die Microsoft Purview-Anmeldeinformationen ab, um die Event-Daten abzurufen, und die Anmeldeinformationen des AWS/Azure Storage-Kontos, um den übereinstimmenden Inhalt zu speichern

    Registrieren Sie eine Anwendung bei Microsoft Identity Platform

    		 Registrieren Sie hier eine Anwendung auf der Microsoft Azure-Plattform, um die Client-ID, den geheimen Clientschlüssel und die Mandanten-ID zu erhalten. Weitere Informationen zu den für die Erstellung einer Anwendung erforderlichen Rollen finden Sie unter Voraussetzungen.

    Informationen zu den API-Berechtigungen/-Rollen, die für eine Microsoft Azure-Anwendung erforderlich sind, um sie in der ServiceNow Microsoft DLP-Integration zu konfigurieren, finden Sie in der folgenden Tabelle.
    Berechtigungen, die für den Azure-Benutzer erforderlich sind, um Zugriff auf das Lesen/Schreiben/Löschen von Blobs in Azure Storage zu erhalten Der Azure-Benutzer muss die Rolle „Beitragender zu Speicher-Blobdaten“ haben, um Blobs in Azure Storage zu lesen, zu schreiben und zu löschen.
    Berechtigungen, die für den AWS-Benutzer erforderlich sind, um Zugriff auf das Lesen/Schreiben/Löschen von Objekten in AWS-Speicher zu erhalten Es sollte eine Richtlinie erstellt werden, die Listen-, Lese-, Schreib- und Löschzugriff für das Objekt in AWS S3-Speicher gewährt.
    Weisen Sie zu und überprüfen Sie, ob Sie über die erforderlichen Rollen für Now Platform und Datenverlustverwaltung verfügen. Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration aus dem ServiceNow Store und weist die Rolle sn_dlir.admin zu.
    • Die Rolle sn_dlir.admin führt die folgenden Aufgaben aus:
      • Konfiguriert die Integration.
      • Richtet die Incident-Profile ein.
    Vergewissern Sie sich, dass die für die Unterstützung der Microsoft-Integration ServiceNow erforderlichen Kernanwendungen von DLP IR installiert und aktiviert sind, bevor Sie diese Integration konfigurieren. Vergewissern Sie sich, dass die folgenden DLP IR -Anwendungen und allgemeinen Anwendungen mit Sicherheitsunterstützung aus dem ServiceNow Store installiert und aktiviert sind. Wenn nicht installiert, installieren und aktivieren Sie in der Anwendung.
    • Security Support Common
    • Data Loss Prevention Incident Response
    Tabelle : 2. Erforderliche API-Berechtigungen/-Rollen für eine Microsoft Azure-AnwendungSie benötigen die folgenden API-Berechtigungen/-Rollen für eine Microsoft Azure-Anwendung, um sie in der ServiceNow Microsoft DLP-Integration zu konfigurieren.
    API Berechtigungsname Typ Beschreibung Für welche ServiceNow-Funktionalität erforderlich? Ist die Zustimmung des Administrators erforderlich?
    Office 365 Management-API AktivitätsFeed.ReadDlp Anwendung Lesen Sie DLP-Richtlinien-Ereignisse, einschließlich erkannter vertraulicher Daten. Zum Erfassen der DLP-Ereignisse aus MSFT Purview in ServiceNow.
    Hinweis:
    Diese Berechtigung ist erforderlich, um die MSFT-Daten in ServiceNowabzurufen.
    		 Ja
    Microsoft Graph-API Dateien.Lesen.Alle Anwendung Lesen Sie Dateien in allen Websitesammlungen, auf die Sie zugreifen können. Datei herunterladen: Zum Herunterladen des Anhangs in der ServiceNow-Instanz, die das DLP-Ereignis von OneDrive oder SharePoint verursacht hat
    Hinweis:
    Dies ist optional. Sie können diese API-Berechtigung überspringen, wenn Sie nicht möchten, dass die Analysten den Anhang herunterladen, der das DLP-Ereignis verursacht hat.
    		 Ja
    Mail.Lesen Anwendung Lesen Sie E-Mails in allen Postfächern. Datei herunterladen: Zum Herunterladen des E-Mail-Inhalts (Text und Anhang) in der ServiceNow-Instanz, die das DLP-Ereignis von Exchange verursacht hat.
    Hinweis:
    Dies ist optional. Sie können diese API-Berechtigung überspringen, wenn Sie nicht möchten, dass die Analysten den E-Mail-Inhalt (Text, Anhang) herunterladen, der das DLP-Ereignis verursacht hat.
    		 Ja
    Benutzer.Lesen Delegiert Melden Sie sich an, und lesen Sie das Benutzerprofil. Dies ist die Standardberechtigung, die für alle neuen Anwendungen verfügbar ist. Nein

    Erkannte vertrauliche Informationen (optional)

    Der Übereinstimmungsinhalt wird extern in Azure Blob Storage oder im Amazon S3-Bucket gespeichert und aus dem externen Speicher abgerufen, wenn der Benutzer einen Incident anzeigt.

    Eine der folgenden Berechtigungen ist erforderlich, wenn die Benutzer Abgleichinhalte/erkannte vertrauliche Informationen in der DLP Core-Anwendung anzeigen möchten:
    1. Wenn Sie Microsoft Azure -Benutzer sind, müssen Sie die Rolle „Beitragender für Speicher-Blobdaten“ haben, um Blobs in Azure Storage zu lesen, zu schreiben und zu löschen.
    2. Wenn Sie Amazon S3-Benutzer sind, müssen Sie eine Richtlinie erstellen, die Listen-, Lese-, Schreib- und Löschzugriff für das Objekt in Amazon S3 Storage gewährt.