Microsoft Exchange Online intégration

  • Rversion finale: Washingtondc
  • Mis à jour 5 mars 2024
  • 4 minutes de lecture

    • Pour l’application d’intégration Microsoft Exchange Online par ServiceNow, le Now Platform® Réponse aux incidents de sécurité produit (SIR) est intégré au service, l’un des services basés sur le Microsoft Exchange Online cloud de la Microsoft suite de produits Office 365. Votre analyste du centre des opérations de sécurité (SOC) peut rechercher les menaces liées à la sécurité dans votre environnement de messagerie d’entreprise, et supprimer et corriger les e-mails de phishing grâce à des fonctionnalités de recherche et de suppression d’e-mails.

    Vue d'ensemble

    En tant qu’analyste des incidents de sécurité, vous exécutez l’intégration à partir de l’interface d’analyste de sécurité, et le workflow renvoie les détails de l’e-mail qui correspondent aux critères de recherche. Les recherches d’e-mails sont basées sur des critères qui incluent les lignes d’objet ainsi que les adresses e-mail de l’expéditeur et du destinataire. Une fois la recherche d’e-mails terminée, vous pouvez supprimer les e-mails suspects du Microsoft Exchange Online service, et un processus d’approbation facultatif peut être configuré pour demander l’approbation avant de supprimer les e-mails.

    Cette intégration de recherche et de suppression d’e-mails peut être utilisée avec un workflow ou un runbook de réponse à l’hameçonnage plus large. Lorsqu’un utilisateur ou un employé de l’entreprise reçoit un e-mail suspect et le signale à l’équipe de réponse au hameçonnage ou à la boîte de réception de l’entreprise, l’e-mail signalé est transféré à l’équipe Now Platform et classé comme incident de sécurité. Après avoir vérifié qu’un e-mail est une attaque de hameçonnage, en tant qu’analyste responsable de l’enquête sur les incidents de hameçonnage, vous pouvez lancer une recherche d’e-mails pour déterminer si d’autres utilisateurs professionnels ont reçu cet e-mail d’hameçonnage. La recherche vous permet de localiser les e-mails associés à la même campagne d’hameçonnage et d’identifier d’autres victimes potentielles qui peuvent avoir reçu l’e-mail, l’avoir lu, mais aussi potentiellement cliqué sur une URL malveillante ou ouvert une pièce jointe.

    Fonctionnalités principales

    L’intégration comprend les fonctionnalités clés suivantes :

    • Configurez les critères de recherche pour les menaces de hameçonnage dans Security Incident Response en fonction des combinaisons des champs d’expéditeur, de destinataire et d’objet des messages électroniques.
    • Pour les recherches d’e-mails longues et volumineuses, l’analyste des incidents de sécurité est informé par e-mail de la fin de la recherche, ainsi que du nombre de messages correspondants.
    • L’état des messages individuels vous informe si les destinataires ont lu ou supprimé des e-mails suspects.
    • S’ils sont configurés, des processus d’approbation facultatifs garantissent que les e-mails suspects ne sont pas supprimés sans autorisation préalable.
    • Une piste d’audit complète pour les demandes de suppression, qui inclut le nombre d’e-mails supprimés, est consignée dans les notes de travail des incidents de sécurité.
    • Si le balisage est configuré, les balises de sécurité sont enregistrées lorsque les workflows de recherche et de suppression d’e-mails sont lancés et exécutés avec succès sur les incidents de sécurité.

    Versions prises en charge Microsoft Exchange Online

    Cette intégration prend en charge Microsoft Exchange Online les services qui font partie de la Microsoft suite Office 365. L’intégration ne prend pas en charge les environnements Exchange hébergés Microsoft . Microsoft exécute les Microsoft Exchange Online services sur la version Exchange 2016.

    Prérequis

    Le module d’extension com.snc.si_dep est requis pour toutes les Now Platform versions. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications.

    Les applications suivantes Security Operations doivent être installées et activées à ServiceNow Storepartir du . Installez puis activez une application à la fois dans l’ordre indiqué ci-dessous pour garantir une installation fluide :
    1. Cadre de travail des intégrations de sécurité
    2. Security Support Common
    3. Orchestration du support de sécurité
    4. Réponse aux incidents de sécurité

    Architecture d’intégration et connexion des systèmes

    Pour en savoir plus sur l’architecture de l’intégration, y compris les termes clés et les détails de connexion aux systèmes externes, reportez-vous à Architecture d’intégration et connexion à des systèmes externes pour l’intégration Microsoft Exchange Online.

    Liste de vérification

    Les sujets suivants sont numérotés. Suivez les rubriques énumérées ci-dessous dans l’ordre dans lequel elles sont présentées pour une installation et une configuration fluides de l’application.

    Pour obtenir une liste de contrôle imprimable de ces étapes, reportez-vous à la section Liste de vérification pour l’intégration Microsoft Exchange Online. Vous pouvez utiliser cette liste pour surveiller votre progression au fur et à mesure que vous travaillez sur les tâches de bout en bout de l’installation, de la configuration et de la vérification des résultats de l’intégration.

    Limitations

    1. La disponibilité des données via l’API Microsoft Threat Hunting est soumise à des retards causés par la latence entre Exchange Server, Graph API et Hunting API. La synchronisation entre l’API Hunting et le serveur Exchange peut prendre quelques minutes. La période de latence est variable et peut différer d’une instance à l’autre.
    2. Les limites de l’API de chasse, des quotas et de l’allocation des ressources sont expliquées ici : https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#advanced-hunting