Integration „Microsoft Exchange Online

  • Freigeben Version: Washingtondc
  • Aktualisiert 5. März 2024
  • 3 Minuten Lesedauer

    • Für die Microsoft Exchange Online -Integrationsanwendung von ServiceNowwird das Produkt Now Platform® Security Incident Response (SIR) mit dem Service Microsoft Exchange Online integriert, einem der cloudbasierten Services in der Office 365-Produktsuite von Microsoft. Ihr SOC-Analyst (Security Operation Center) kann die E-Mail-Umgebung Ihres Unternehmens nach sicherheitsbezogenen Bedrohungen durchsuchen und Phishing-E-Mails mit E-Mail-Such- und Löschfunktionen entfernen und korrigieren.

    Übersicht

    Als Security Incident-Analyst führen Sie die Integration über die Security Analyst-Schnittstelle aus, und der Workflow gibt E-Mail-Nachrichtendetails zurück, die den Suchkriterien entsprechen. E-Mail-Suchen basieren auf Kriterien, die Betreffzeilen sowie Absender- und Empfänger-E-Mail-Adressen umfassen. Nach Abschluss der E-Mail-Suche können Sie verdächtige E-Mails aus dem Microsoft Exchange Online -Service löschen. Ein optionaler Genehmigungsprozess kann so konfiguriert werden, dass vor dem Löschen von E-Mails eine Genehmigung angefordert wird.

    Diese Integration zum Suchen und Löschen von E-Mails kann mit einem umfassenderen Workflow oder Runbook für Phishing-Antwort-Incidents verwendet werden. Nachdem ein Unternehmensbenutzer oder -mitarbeiter eine verdächtige E-Mail erhalten und sie dem Phishing-Antwortteam oder Posteingang des Unternehmens gemeldet hat, wird die gemeldete E-Mail an Now Platform weitergeleitet und als Security Incident kategorisiert. Nachdem Sie sich vergewissert haben, dass es sich bei einer E-Mail um einen Phishing-Angriff handelt, können Sie als Analyst, der für die Untersuchung von Phishing-Incidents verantwortlich ist, eine E-Mail-Suche starten, um festzustellen, ob andere Unternehmensbenutzer diese Phishing-E-Mail erhalten haben. Mit der Suche können Sie zugehörige E-Mails aus derselben Phishing-Kampagne finden und andere potenzielle Opfer identifizieren, die die E-Mail möglicherweise erhalten und gelesen und möglicherweise auch auf eine schädliche URL geklickt oder einen Anhang geöffnet haben.

    Schlüsselfunktionen

    Die Integration umfasst die folgenden wichtigen Funktionen:

    • Konfigurieren Sie Suchkriterien für Phishing-Bedrohungen in Security Incident Response basierend auf Kombinationen der Felder „Absender“, „Empfänger“ und „Betreff“ in E-Mail-Nachrichten.
    • Bei umfangreichen und langwierigen E-Mail-Suchen wird der Security Incident-Analyst per E-Mail über den erfolgreichen Abschluss der Suche und die Anzahl der übereinstimmenden Nachrichten informiert.
    • Der Status für einzelne Nachrichten informiert Sie, wenn Empfänger verdächtige E-Mails gelesen oder gelöscht haben.
    • Wenn konfiguriert, stellen optionale Genehmigungsprozesse sicher, dass verdächtige E-Mails nicht ohne vorherige Genehmigung gelöscht werden.
    • Ein vollständiger Auditpfad für Löschanforderungen, der die Anzahl der gelöschten E-Mails enthält, wird in den Arbeitsnotizen von Security Incidents protokolliert.
    • Wenn Tagging konfiguriert ist, zeichnen Sicherheits-Tags auf, wenn E-Mail-Such- und Lösch-Workflows initiiert und für Security Incidents erfolgreich abgeschlossen werden.

    Unterstützte Versionen Microsoft Exchange Online .

    Diese Integration unterstützt Services von Microsoft Exchange Online, die Teil der Office 365-Suite von Microsoft sind. Die Integration unterstützt keine gehosteten Microsoft Exchange-Umgebungen. Microsoft führt Microsoft Exchange Online -Services in der Exchange 2016-Version aus.

    Voraussetzungen

    Das Plugin „com.snc.si_dep“ ist für jede Version von Now Platform erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations Anwendungen müssen über den ServiceNow Storeinstalliert und aktiviert werden. Installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response

    Integrationsarchitektur und Systemverbindung

    Weitere Informationen zur Architektur der Integration, einschließlich wichtiger Begriffe und Details zur Verbindung externer Systeme, finden Sie unter Integrationsarchitektur und externe Systemverbindung für die Microsoft Exchange Online -Integration.

    Prüfliste

    Die folgenden Themen sind nummeriert. Befolgen Sie die unten aufgeführten Themen in der Reihenfolge, in der sie angezeigt werden, um eine reibungslose Installation und Konfiguration der Anwendung zu gewährleisten.

    Eine Prüfliste dieser Schritte zum Ausdrucken finden Sie unter Prüfliste für die Microsoft Exchange Online -Integration. Sie können diese Liste verwenden, um Ihren Fortschritt zu überwachen, während Sie die End-to-End-Aufgaben der Einrichtung, Konfiguration und Überprüfung der Ergebnisse der Integration durcharbeiten.

    Einschränkungen

    1. Die Verfügbarkeit von Daten über die Microsoft Threat-Hunting-API unterliegt Verzögerungen, die durch die Latenz zwischen Exchange Server, Graph API und Search-API verursacht werden. Die Synchronisierung zwischen der Search-API und dem Exchange-Server kann einige Minuten dauern. Die Latenzzeit ist variabel und kann von Instanz zu Instanz unterschiedlich sein.
    2. Hier werden die Einschränkungen der Such-API, der Kontingente und der Ressourcenzuteilung erläutert: https://learn.microsoft.com/en-us/graph/api/resources/security-api-overview?view=graph-rest-1.0#advanced-hunting