Vue d’ensemble de l’intégration Microsoft Exchange Online

En tant qu’analyste des incidents de sécurité, vous exécutez l’intégration à partir de l’interface de l’analyste de sécurité, et le workflow renvoie les détails des e-mails qui correspondent aux critères de recherche. Les recherches d’e-mails sont basées sur des critères qui incluent les lignes d’objet ainsi que les adresses e-mail de l’expéditeur et du destinataire. Une fois la recherche d’e-mails terminée, vous pouvez supprimer les e-mails suspects du Microsoft Exchange Online service et un processus d’approbation facultatif peut être configuré pour demander l’approbation avant de supprimer les e-mails.

Cette intégration de recherche et de suppression d’e-mails peut être utilisée avec un workflow ou un runbook plus large de réponse aux incidents de hameçonnage. Une fois qu’un utilisateur ou un employé de l’entreprise reçoit un e-mail suspect et le signale à l’équipe de réponse au phishing ou à la boîte de réception de l’entreprise, l’e-mail signalé est transféré ServiceNow AI Platform et classé comme incident de sécurité. Après avoir vérifié qu’un e-mail est une attaque d’hameçonnage, en tant qu’analyste responsable de l’enquête sur les incidents d’hameçonnage, vous pouvez lancer une recherche d’e-mail pour déterminer si d’autres utilisateurs d’entreprise ont reçu cet e-mail d’hameçonnage. La recherche vous permet de localiser les e-mails associés à la même campagne de phishing et d’identifier d’autres victimes potentielles qui ont peut-être reçu l’e-mail, l’ont lu et ont également potentiellement cliqué sur une URL malveillante ou ouvert une pièce jointe.

Fonctionnalités principales

L’intégration comprend les fonctionnalités clés suivantes :

• Configurez les critères de recherche des menaces d’hameçonnage dans Réponse aux incidents de sécurité en fonction des combinaisons des champs expéditeur, destinataire et objet des messages électroniques.
• Pour les recherches d’e-mails volumineuses et longues, l’analyste des incidents de sécurité est informé par e-mail lorsque la recherche est terminée avec succès, ainsi que le nombre de messages correspondants.
• L’état des messages individuels vous informe si les destinataires ont lu ou supprimé des e-mails suspects.
• S’ils sont configurés, les processus d’approbation facultatifs garantissent que les e-mails suspects ne sont pas supprimés sans approbation préalable.
• Une piste d’audit complète pour les demandes de suppression incluant le nombre d’e-mails supprimés est consignée dans les notes de travail des incidents de sécurité.
• Si le balisage est configuré, les balises de sécurité enregistrent lorsque les workflows de recherche et de suppression d’e-mails sont lancés et terminés avec succès sur les incidents de sécurité.

Versions prises en charge Microsoft Exchange Online

Cette intégration prend en charge Microsoft Exchange Online les services, qui font partie de la Microsoft suite Office 365. L’intégration ne prend pas en charge les environnements Exchange hébergés Microsoft . Microsoft exécute Microsoft Exchange Online des services sur la version Exchange 2016.

Prérequis

Le module d’extension com.snc.si_dep est requis pour toute ServiceNow AI Platform version. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.