Prise en main de l’intégration Microsoft DLP IR pour la protection contre la perte de données

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Examinez les informations suivantes avant de commencer à configurer votre Microsoft DLP IR intégration pour la protection contre la perte de données.

    Tableau 1. Liste de vérification
    Tâche de configuration Description

    Obtenir les informations d’identification Microsoft Purview pour extraire les données d’événement et les informations d’identification de compte de stockage AWS/Azure pour stocker le contenu de la correspondance

    Inscrire une application auprès de Microsoft Identity Platform

    		 Inscrivez une application sur la plateforme Microsoft Azure à partir d’ici pour obtenir l’ID client, le secret client et l’ID de locataire. Pour plus d’informations sur les rôles requis pour créer une application, consultez Conditions préalables.

    Pour plus d’informations sur les autorisations/rôles d’API requis sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration DLP Microsoft, consultez le tableau suivant.
    Autorisations requises pour que l’utilisateur Azure obtienne l’accès en lecture/écriture/suppression d’objets blob sur le stockage Azure L’utilisateur Azure doit avoir le rôle Contributeur de données d’objet blob de stockage pour lire, écrire et supprimer des objets blob sur Stockage Azure.
    Autorisations requises pour que l’utilisateur AWS puisse obtenir l’accès en lecture/écriture/suppression à l’objet sur le stockage AWS Une politique doit être créée qui donne un accès en liste, lecture, écriture et suppression pour l’objet dans le stockage AWS S3.
    Affectez et vérifiez si vous disposez des rôles requis pour Now Platform les rôles d’administration des pertes de données. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à ServiceNow Store partir de et affecte le rôle sn_dlir.admin.
    • Le rôle sn_dlir.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Configure les profils d’incidents.
    Vérifiez que les ServiceNow applications de base requises pour prendre en charge l’intégration Microsoft DLP IR sont installées et activées avant de configurer cette intégration. Vérifiez que les applications et applications courantes de sécurité suivantes DLP IR sont installées et activées à partir de la ServiceNow boutique. S’il n’est pas installé, installez et activez l’application.
    • Security Support Common
    • Data Loss Prevention Incident Response
    Tableau 2. Autorisations/rôles d’API requis sur une application Microsoft AzureVous avez besoin des autorisations/rôles d’API suivants sur une application Microsoft Azure pour la configurer sur ServiceNow l’intégration DLP Microsoft.
    API Nom d’autorisation Type Description Pour quelle fonctionnalité ServiceNow est-elle requise ? Le consentement de l’administrateur est-il nécessaire ?
    API de gestion Office 365 ActivityFeed.ReadDlp Application Lire les événements de politique DLP, y compris les données sensibles détectées. Pour ingérer les événements DLP de MSFT Purview vers ServiceNow.
    Remarque :
    Cette autorisation est indispensable pour obtenir les données MSFT dans ServiceNow.
    		 Oui
    Microsoft Graph API Fichiers.Lecture.Tout Application Lisez les fichiers de toutes les collections de sites auxquelles vous pouvez accéder. Télécharger le fichier : pour télécharger la pièce jointe sur l’instance ServiceNow à l’origine de l’événement DLP à partir de OneDrive ou SharePoint
    Remarque :
    Ceci est facultatif. Vous pouvez ignorer cette autorisation d’API si vous ne souhaitez pas autoriser les analystes à télécharger la pièce jointe à l’origine de l’événement DLP.
    		 Oui
    Courrier.Lecture Application Lire le courrier dans toutes les boîtes aux lettres. Télécharger le fichier : pour télécharger le contenu de l’e-mail (corps et pièce jointe) sur l’instance ServiceNow à l’origine de l’événement DLP à partir d’Exchange.
    Remarque :
    Ceci est facultatif. Vous pouvez ignorer cette autorisation d’API si vous ne souhaitez pas autoriser les analystes à télécharger le contenu de l’e-mail (corps, pièce jointe) à l’origine de l’événement DLP.
    		 Oui
    Utilisateur.Lecture Délégué Connectez-vous et lisez le profil d’utilisateur. Il s’agit de l’autorisation par défaut qui sera disponible pour toutes les nouvelles applications. Non

    Informations sensibles détectées (facultatif)

    Le contenu de correspondance est stocké en externe dans Azure Blob Storage ou dans la catégorie Amazon S3 et est extrait du stockage externe lorsque l’utilisateur affiche un incident.

    L’une des autorisations suivantes est requise si les utilisateurs souhaitent afficher le contenu de la correspondance/les informations sensibles détectées dans l’application DLP Core :
    1. Si vous êtes un utilisateur, vous devez avoir le rôle Contributeur de données d’objet Microsoft Azure blob de stockage pour lire, écrire et supprimer des objets blob sur Stockage Azure.
    2. Si vous êtes un utilisateur Amazon S3, vous devez créer une politique qui donne l’accès en liste, lecture, écriture et suppression pour l’objet dans le stockage Amazon S3.