Mise en route de l’intégration Microsoft Azure Sentinel

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Activez et configurez le module d’extension pour Security Operation afin qu’il s’interface Microsoft Azure Sentinel - Ingestion des incidents avec votre instance et Réponse aux incidents de sécurité votre Now Platform produit.

    Avant de commencer

    Rôle requis : Microsoft Azure développeur d’application, Microsoft Azure administrateur de locataire

    Avant de pouvoir utiliser l’intégration Microsoft Azure Sentinel , vous devez la télécharger à partir du ServiceNow Store.

    Pourquoi et quand exécuter cette tâche

    Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez terminé toutes les tâches pour une intégration fluide.

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles et Réponse aux incidents de sécurité requisNow Platform. Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir de et ServiceNow Store attribue le rôle sn_si.admin.
    • Le rôle sn_si.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Crée des profils d’incident.
      • Mappe les champs de données d’incident Microsoft Azure Sentinel avec les champs d’incident de sécurité.
      • Planifie l’ingestion d’incidents en cours.
      • Active les mises à jour d’incident lorsqu’un Réponse aux incidents de sécurité incident est créé ou fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    Affectez les Microsoft Azure rôles requis. Les rôles suivants sont requis pour enregistrer Microsoft Azure et configurer votre application :
    • Développeur d’application pour l’enregistrement de l’application.
    • Administrateur du locataire pour donner des autorisations à l’application en appelant le point de terminaison de consentement de l’administrateur.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le ServiceNow Hub d'intégration module d’extension Programme d’installation du pack de démarrage [com.glide.hub.integrations] est requis.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications requises par l’intégration.

    Vérifiez que les applications suivantes Opérations de sécurité sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez installer et activer chaque application une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité
    2. Interface utilisateur Réponse aux incidents de sécurité
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Enregistrez et configurez votre application dans le Microsoft Azure portail. Enregistrez votre application dans le Microsoft Azure portail et accordez à vos utilisateurs un accès en lecture et en écriture à l’application.