Erste Schritte mit der Integration von Microsoft Azure Sentinel .

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Aktivieren und richten Sie das Plugin Microsoft Azure Sentinel – Incident Ingestion „ for Security Operation“ als Schnittstelle mit Ihrer Now Platform -Instanz und Ihrem [ Security Incident Response -Produkt ein.

    Vorbereitungen

    Erforderliche Rolle: Microsoft Azure Anwendungsentwickler, Microsoft Azure Mandantenadministrator

    Bevor Sie die Microsoft Azure Sentinel -Integration verwenden können, müssen Sie sie aus dem ServiceNow Storeherunterladen.

    Warum und wann dieser Vorgang ausgeführt wird

    Überprüfen Sie die folgende Setup-Prüfliste, und stellen Sie sicher, dass Sie alle Aufgaben für eine reibungslose Integration abgeschlossen haben.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung
    Weisen Sie die erforderlichen Rollen Now Platform und Security Incident Response zu, und überprüfen Sie sie. Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Die Administratorrolle installiert die Integration aus dem ServiceNow Store und weist die Rolle sn_si.admin zu.
    • Die Rolle sn_si.admin führt die folgenden Aufgaben aus:
      • Konfiguriert die Integration.
      • Erstellt Incident-Profile.
      • Ordnet die Incident-Datenfelder Microsoft Azure Sentinel den Security Incident-Feldern zu.
      • Plant die laufende Incident-Erfassung.
      • Aktiviert Incident-Aktualisierungen, wenn ein Security Incident Response Incident erstellt oder geschlossen wird.
      • Weist die Rolle Security Incident Analyst (sn_si.analyst) zu.
    Weisen Sie die erforderlichen Microsoft Azure Rollen zu. Die folgenden Rollen sind in Microsoft Azure erforderlich, um Ihre Anwendung zu registrieren und zu konfigurieren:
    • Anwendungsentwickler für die Registrierung der Anwendung.
    • Mandantenadministrator zum Erteilen von Berechtigungen für die Anwendung durch Aufrufen des Administratoreinwilligungsendpunkts.
    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie diese Integration konfigurieren.

    Das Plugin ServiceNow IntegrationHub Starter Pack Installer [com.glide.hub.integrations] ist erforderlich.

    Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Store] installiert und aktiviert wurden. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie jede Anwendung einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation zu gewährleisten:

    1. Security Incident Response
    2. Security Incident Response-Benutzeroberfläche
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Registrieren und konfigurieren Sie Ihre Anwendung im Microsoft Azure -Portal. Registrieren Sie Ihre Anwendung im Portal Microsoft Azure, und gewähren Sie Ihren Benutzern Lese- und Schreibzugriff auf die Anwendung.