Como configurar o Conector do Service Graph para Microsoft Defender Endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Extraia dados de máquinas que utilizam a solução de segurança Microsoft Defender for Endpoint em seu CMDB.

    Antes de Iniciar

    Para usar este Conector do Service Graph, você precisa de uma assinatura para uma Unidade de Assinatura baseada na aplicação Visibility IT Operations Management (ITOM) ou na aplicação Discovery ITOM. Conforme definido na seção "Tipos de recursos de TI gerenciados" em Visão geral da unidade de assinatura da ServiceNow para sua assinatura, para recursos de TI gerenciados que são criados ou modificados no CMDB por este Conector do Service Graph, mas que ainda não são gerenciados pela Visibilidade do ITOM ou Descoberta do ITOM, esses recursos aumentarão o consumo da Unidade de assinatura dessa aplicação. Analise o consumo atual da unidade de assinatura no ITOM Visibility ou no ITOM Discovery para garantir a capacidade disponível.

    Dependências e requisitos:
    • A aplicação da Store Integration Commons for CMDB, que é instalado automaticamente.
    • A aplicação da Store Aplicação da Store de CMDB CI Class Models, que é instalada automaticamente.
    • O plug-in do ITOM Discovery License (com.snc.itom.discovery.license). Você deve ativar este plug-in.
    • Plug-in de licenciamento do ITOM (com.snc.itom.license). Para obter mais informações, consulte Solicitação do Discovery.
    • O plug-in Datastream Action (com.glide.hub.action_type.datastream), que é instalado automaticamente.
    • Observability Commons for CMDB (sn_observability), que só é necessário para ingestão de eventos. Para que o Event Management funcione, o aplicativo Observability Commons for CMDB (sn_observability) deve ser instalado antes de instalar o conector. Para obter mais informações, confira Observability Commons for CMDB em ServiceNow Store.
    Conclua as seguintes tarefas:
    • Instale a aplicação Conector do Service Graph para Microsoft Defender Endpoint (sn_defender_integ). Para obter mais informações, consulte Instalação de um aplicativo da ServiceNow Store.
    • Certifique-se de ter uma assinatura ativa do Microsoft Defender for Endpoint.
    • Certifique-se de ter criado uma aplicação Azure para obter acesso programático a Microsoft Defender for Endpoint. Consulte Uso do Microsoft Defender para APIs de endpoint na documentação de Microsoft 365.
    • Obtenha o ID do locatário, o ID do cliente e os detalhes do segredo do cliente para a conta do administrador Microsoft Defender for Endpoint.
    • Habilite as permissões Machine.Read.All e Machine.ReadWrite.All em Microsoft Defender for Endpoint. Consulte Permissões para a API Listar máquinas na Microsoft 365 documentação.

    Função necessária: administrador.

    Procedimento

    1. Certifique-se de que o escopo da aplicação esteja definido como a aplicação Conector do Service Graph para Microsoft Defender Endpoint usando o seletor de aplicações.
      Para obter mais informações, consulte Selecionador de aplicações.
    2. Navegar até Tudo > Service Graph Connectors > Microsoft Defender > Configuração.
    3. Na página de Introdução, selecione Introdução.
    4. Configure os detalhes das credenciais de autenticação para enviar solicitações à API Listar máquinas em Microsoft Defender for Endpoint.
      1. Configurar suas credenciais de autenticação do Microsoft Defender for Endpoint.
        1. Na página Configurar a conexão da página do Conector do Service Graph para Microsoft Defender, selecione Introdução.
        2. Para a tarefa Configurar as credenciais, selecione Configurar.
        3. No formulário, analise e modifique os campos.
          Tabela 1. Formulário de registros de aplicações
          Campo Descrição
          Nome da conexão Nome para identificar o registro de conexão.
          Nota:
          Este campo é definido automaticamente para o registro de conexão OAuth do SG Defender. Deixe o valor do campo como está.
          ID de cliente ID da aplicação (cliente) de Microsoft Defender for Endpoint conforme descrito na seção Antes de começar.
          Segredo do Cliente Segredo do cliente do seu Microsoft Defender for Endpoint conforme descrito na seção Antes de começar.
          URL do token Oauth URL do token do seu Microsoft Defender for Endpoint.
          Insira o URL do token no seguinte formato: 
          https://login.microsoftonline.com/<tenantid>/oauth2/v2.0/token
          Onde<tenantid> é o ID do locatário do seu Microsoft Defender for Endpoint conforme descrito na seção Antes de começar .sgc-configure-msdefender-integration.html#sgc-configure-msdefender-integration__prereq_onn_3sx_tzb
        4. Selecione Atualizar para retornar à página de configuração assistida.
        5. Defina a tarefa Configurar as credenciais como concluída selecionando Marcar como concluída.
      2. Teste a conexão da API Listar máquinas para importar dados relacionados à máquina de Microsoft Defender for Endpoint.
        1. Para a tarefa Testar conexão, selecione Configurar.
        2. Na página Conexões do Service Graph, selecione Testar conexão.
        3. Quando o campo Status estiver definido como Êxito, selecione Atualizar para fechar a caixa de diálogo Testar a conexão e retornar à página de configuração assistida.

          Se algum dos testes apresentar algum erro, siga as sugestões de correção.

        4. Defina a tarefa Testar conexão como concluída clicando em Marcar como Concluída.
    5. Configure os trabalhos programados para importar dados relacionados à máquina de Microsoft Defender for Endpoint.
      1. Na seção Configurar trabalhos de importação programada da página do Conector do Service Graph para Microsoft Defender, selecione Introdução.
      2. Para a tarefa Configurar trabalhos programados, selecione Configurar.
      3. Na coluna Nome, Selecione o trabalho programado que você deseja ativar.
        Por padrão, o trabalho programado SG-Defender Machines está disponível para executar a fonte de dados SG-Defender Machines.
      4. No formulário Importação de dados programada, verifique os valores de campos do trabalho programado.
        Para obter mais informações, consulte Schedule a data import.
      5. Selecione Executar agora.
      6. Selecione o botão Voltar do navegador para retornar à página de configuração orientada.
      7. Defina a tarefa Configurar os trabalhos programados como concluídos selecionando Marcar como concluído na configuração orientada.