Introduction à l’intégration Microsoft Azure Sentinel

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Activez et configurez le module d’extension Microsoft Azure Sentinel - Ingestion des incidents pour Security Operation pour qu’il s’interface avec votre instance et Réponse aux incidents de sécurité votre Now Platform produit.

    Avant de commencer

    Rôle requis : Microsoft Azure développeur d’application, Microsoft Azure administrateur locataire

    Avant de pouvoir utiliser l’intégration Microsoft Azure Sentinel , vous devez la télécharger à partir du ServiceNow Store.

    Pourquoi et quand exécuter cette tâche

    Passez en revue la liste de vérification de configuration suivante et vérifiez que vous avez effectué toutes les tâches pour une intégration fluide.

    Tableau 1. Liste de vérification
    Tâche de configuration Description
    Affectez et vérifiez les rôles et Réponse aux incidents de sécurité requis Now Platform ; Les rôles suivants sont requis pour la configuration et la vérification des résultats attendus :
    • Le rôle administrateur installe l’intégration à partir de et ServiceNow Store affecte le rôle sn_si.admin.
    • Le rôle sn_si.admin effectue les tâches suivantes :
      • Configure l’intégration.
      • Crée des profils d’incidents.
      • Mappe les champs de données d’incident Microsoft Azure Sentinel aux champs d’incident de sécurité.
      • Planifie l’ingestion d’incidents en cours.
      • Permet de mettre à jour les incidents lorsqu’un Réponse aux incidents de sécurité incident est créé ou fermé.
      • Affecte le rôle d’analyste des incidents de sécurité (sn_si.analyst).
    Affectez les Microsoft Azure rôles requis. Les rôles suivants sont requis pour Microsoft Azure enregistrer et configurer votre application :
    • Développeur d’application pour l’enregistrement de l’application.
    • Administrateur locataire pour donner des autorisations à l’application en appelant le point de terminaison de consentement de l’administrateur.
    Vérifiez que les ServiceNow applications principales requises pour prendre en charge l’intégration sont installées et activées avant de configurer cette intégration.

    Le module d’extension ServiceNow Hub d'intégration Starter Pack Installer [com.glide.hub.integrations] est requis.

    Le Réponse aux incidents de sécurité module d’extension (com.snc.security_incident) est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications requises par l’intégration.

    Vérifiez que les applications suivantes Security Operations sont installées et activées à partir du ServiceNow Store. Si ces applications ne sont pas déjà installées, vous devez les installer et les activer une par une dans l’ordre suivant pour garantir une installation fluide :

    1. Réponse aux incidents de sécurité
    2. Interface utilisateur Réponse aux incidents de sécurité
    3. ServiceNow IntegrationHub Runtime (com.glide.hub.integration.runtime)
    4. ServiceNow IntegrationHub Action Step - REST (com.glide.hub.action_step.rest)
    Enregistrez et configurez votre application dans le Microsoft Azure Portail. Enregistrez votre application dans le Microsoft Azure portail et accordez à vos utilisateurs un accès en lecture et en écriture à l’application.