통합 시작하기 Microsoft Azure Sentinel

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 인스턴스 및 제품과 인터페이스 Now Platform 하도록 for Security Operation 플러그인을 활성화하고 보안 인시던트 응답 설정합니다Microsoft Azure Sentinel - Incident Ingestion.

    시작하기 전에

    필요한 역할: Microsoft Azure 응용 프로그램 개발자, Microsoft Azure 테넌트 관리자

    통합을 사용하려면 Microsoft Azure Sentinel 먼저 에서 다운로드 ServiceNow Store해야 합니다.

    이 태스크 정보

    다음 설정 검사 목록을 검토하고 원활한 통합을 위해 모든 작업을 완료했는지 확인합니다.

    표 1. 검사 목록
    설정 작업 설명
    필수 Now Platform보안 인시던트 응답 역할을 할당하고 확인합니다. 예상 결과를 구성하고 검증하려면 다음 역할이 필요합니다.
    • 관리자 역할은 에서 통합을 설치하고 sn_si.admin 역할을 할당합니다 ServiceNow Store .
    • sn_si.admin 역할은 다음 작업을 수행합니다.
      • 통합을 구성합니다.
      • 인시던트 프로파일을 생성합니다.
      • 인시던트 데이터 필드를 보안 인시던트 필드에 매핑 Microsoft Azure Sentinel 합니다.
      • 진행 중인 인시던트 수집을 예약합니다.
      • 인시던트가 생성되거나 종결될 때 인시던트 업데이트를 활성화합니다 보안 인시던트 응답 .
      • 보안 인시던트 분석가(sn_si.analyst) 역할을 할당합니다.
    필요한 역할을 할당합니다 Microsoft Azure . 애플리케이션을 등록하고 구성하려면 Microsoft Azure 다음 역할이 필요합니다.
    • 애플리케이션 등록을 위한 애플리케이션 개발자입니다.
    • 관리자 동의 엔드포인트를 호출하여 애플리케이션에 권한을 부여하기 위한 테넌트 관리자입니다.
    이 통합을 구성하기 전에 통합을 지원하는 데 필요한 핵심 애플리케이션이 설치되고 활성화되어 있는지 ServiceNow 확인합니다.

    ServiceNow Integration Hub Starter Pack 설치 관리자 [com.glide.hub.integrations] 플러그인이 필요합니다.

    플러그인(com.snc.security_incident)이 보안 인시던트 응답 필요합니다. 이 플러그인은 제품을 지원하는 보안 인시던트 응답 데 필요한 모든 의존성을 자동으로 설치합니다. 통합에 필요한 다른 Security Operations 애플리케이션을 설치하고 활성화하기 전에 이 플러그인을 설치하고 활성화합니다.

    다음 Security Operations 애플리케이션이 에서 설치 및 활성화 ServiceNow Store되어 있는지 확인합니다. 해당 애플리케이션이 아직 설치되어 있지 않은 경우 원활한 설치를 위해 다음 순서대로 각 애플리케이션을 한 번에 하나씩 설치하고 활성화해야 합니다.

    1. 보안 인시던트 응답
    2. 보안 인시던트 응답 UI
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    다음에서 애플리케이션을 등록하고 구성합니다. Microsoft Azure 포털. 포털에서 Microsoft Azure 애플리케이션을 등록하고 사용자에게 애플리케이션에 대한 읽기 및 쓰기 권한을 부여합니다.