Introdução à integração Microsoft Defender for Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • A seção a seguir lista as tarefas de configuração que você deve concluir em sua instância Now Platform® antes de instalar a aplicação Microsoft Defender for Endpoint da ServiceNow Store.

    Antes de Iniciar

    Função necessária: administrador

    Consulte a tabela a seguir e verifique se você concluiu todas as tarefas listadas antes de baixar e instalar a aplicação para garantir uma instalação e configuração sem problemas.

    Configuração de tarefa Descrição
    Verifique se você atribuiu as funções necessárias da Now Platform e do Security Incident Response (SIR). As seguintes funções são necessárias:
    1. Você deve ter a função de administrador do sistema (admin) para instalar a aplicação para a integração.
    2. Você deve ter a função de administrador de incidentes de segurança (sn_si.admin) para configurar a integração, criar, ativar e remover perfis.
    3. Você deve ter a função de analista de incidentes de segurança (sn_si.analyst) para trabalhar com incidentes de segurança. Um usuário com esta função pode iniciar qualquer um dos recursos disponíveis na integração.
    Verifique se as aplicações principais da ServiceNow necessárias para oferecer suporte à integração estão instaladas e ativadas antes de instalar a aplicação.
    Verifique se as seguintes Security Operations aplicações estão instaladas e ativadas a partir de ServiceNow Store. Se essas aplicações ainda não estiverem instaladas, você deverá instalar e ativar cada aplicação uma de cada vez na seguinte ordem para garantir uma instalação sem problemas:
    1. Security Incident Response
    2. Tempo de execução do ServiceNow IntegrationHub (com.glide.hub.integration.runtime)
    3. Etapa de ação do ServiceNow IntegrationHub — REST (com.glide.hub.action_step.rest)
    Antes de habilitar a opção de aprovação para perfis, verifique se você criou um grupo de aprovação. Um fluxo de trabalho de aprovação opcional está disponível para isolar máquinas host, restaurá-las na rede e executar ações adicionais no endpoint.

    Se sua organização deseja um nível extra de controle sobre essas ações, habilite a opção Requer aprovação durante a configuração dos perfis.

    Em um cenário em que o perfil está disponível, a configuração do perfil para aprovação tem precedência. Em um cenário em que o perfil está indisponível, as aprovações são tratadas com base nas configurações padrão.

    Como administrador de segurança, você pode configurar a aprovação ao configurar os perfis e as configurações padrão. Um grupo de aprovação deve estar disponível na lista Grupos em sua instância.

    Para monitorar e processar solicitações enviadas pelos usuários com a função sn_si.analyst, cada membro do grupo de aprovação deve navegar até Minhas aprovações no Now Platform®. Como alternativa, os aprovadores podem encontrar as solicitações enviadas exclusivamente para integração Microsoft Defender for Endpoint no módulo Aprovações. Para obter mais informações sobre como criar um grupo de usuários, consulte Criar um grupo de usuários.

    O que Fazer Depois

    Você configurou com sucesso sua instância Now Platform® para a integração Microsoft Defender for Endpoint. A próxima etapa é instalar a aplicação Microsoft Defender for Endpoint da ServiceNow Store para a integração.