Erste Schritte mit Microsoft Azure Sentinel der -Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Aktivieren Sie das Plugin Microsoft Azure Sentinel – Incident Ingestion for Security Operation, und richten Sie es als Schnittstelle mit Ihrer Instanz Now Platform und Ihrem Produkt Security Incident Response ein.

    Vorbereitungen

    Erforderliche Rolle: Microsoft Azure Anwendungsentwickler, Microsoft Azure Mandantenadministrator

    Bevor Sie die Microsoft Azure Sentinel -Integration verwenden können, müssen Sie sie von ServiceNow Storeherunterladen.

    Warum und wann dieser Vorgang ausgeführt wird

    Sehen Sie sich die folgende Setupprüfliste an, und vergewissern Sie sich, dass Sie alle Aufgaben für eine reibungslose Integration abgeschlossen haben.

    Tabelle : 1. Prüfliste
    Setupaufgabe Beschreibung
    Weisen Sie die erforderlichen Rollen Now Platform und Security Incident Response zu, und überprüfen Sie sie. Die folgenden Rollen sind für die Konfiguration und Überprüfung der erwarteten Ergebnisse erforderlich:
    • Die Rolle admin installiert die Integration aus ServiceNow Store und weist die Rolle sn_si.admin zu.
    • Die Rolle sn_si.admin führt die folgenden Aufgaben aus:
      • Konfiguriert die Integration.
      • Erstellt Incident-Profile.
      • Ordnet die Incident-Datenfelder Microsoft Azure Sentinel den Security Incident-Feldern zu.
      • Plant die laufende Incident-Erfassung.
      • Aktiviert Incident-Updates, wenn der Incident Security Incident Response erstellt oder geschlossen wird.
      • Weist die Rolle „Security Incident-Analyst“ (sn_si.analyst) zu.
    Weisen Sie die Microsoft Azure erforderlichen Rollen zu. Die folgenden Rollen sind in Microsoft Azure erforderlich, um Ihre Anwendung zu registrieren und zu konfigurieren:
    • Anwendungsentwickler für die Registrierung der Anwendung.
    • Mandantenadministrator zum Erteilen von Berechtigungen für die Anwendung durch Aufrufen des Endpunkts für die Administratoreinwilligung.
    Stellen Sie sicher, dass die Kernanwendungen ServiceNow, die zur Unterstützung der Integration erforderlich sind, installiert und aktiviert sind, bevor Sie diese Integration konfigurieren.

    Das Plugin ServiceNow IntegrationHub Starter Pack Installer [com.glide.hub.integrations] ist erforderlich.

    Das Plugin Security Incident Response (com.snc.security_incident) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren, die für die Integration erforderlich sind.

    Vergewissern Sie sich, dass die folgenden Security Operations -Anwendungen über ServiceNow Storeinstalliert und aktiviert sind. Wenn diese Anwendungen noch nicht installiert sind, müssen Sie sie einzeln in der folgenden Reihenfolge installieren und aktivieren, um eine reibungslose Installation zu gewährleisten:

    1. Security Incident Response
    2. Security Incident Response-Benutzeroberfläche
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Registrieren Sie sich, und konfigurieren Sie Ihre Anwendung im Microsoft Azure -Portal Registrieren Sie Ihre Anwendung im -Portal Microsoft Azure, und gewähren Sie Ihren Benutzern Lese- und Schreibzugriff auf die Anwendung.