Introdução à integração Microsoft Azure Sentinel

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Ative e configure o plug-in Microsoft Azure Sentinel – Ingestão de incidentes for Security Operation para interagir com sua instância [ Now Platform e produto Security Incident Response.

    Antes de Iniciar

    Função necessária: Microsoft Azure desenvolvedor de aplicações, Microsoft Azure administrador de locatário

    Antes de poder usar a integração Microsoft Azure Sentinel, você deve baixá-la do ServiceNow Store.

    Por Que e Quando Desempenhar Esta Tarefa

    Revise a check-list de configuração a seguir e verifique se você concluiu todas as tarefas para uma integração sem problemas.

    Tabela 1. Check-list
    Configuração de tarefa Descrição
    Atribua e verifique as funções Now Platform e Security Incident Response. As funções a seguir são necessárias para configuração e verificação dos resultados esperados:
    • A função de administrador instala a integração do ServiceNow Store e atribui a função sn_si.admin.
    • A função sn_si.admin executa as seguintes tarefas:
      • Configura a integração.
      • Cria perfis de incidentes.
      • Mapeia os campos de dados de incidentes Microsoft Azure Sentinel para os campos de incidentes de segurança.
      • Programa a ingestão de incidentes contínuos.
      • Habilita atualizações de incidentes quando um Security Incident Response incidente é criado ou encerrado.
      • Atribui a função de analista de incidentes de segurança (sn_si.analyst).
    Atribua as Microsoft Azure funções necessárias. As funções a seguir são necessárias em Microsoft Azure para registrar e configurar sua aplicação:
    • Desenvolvedor de aplicações para registrar a aplicação.
    • Administrador de locatário para conceder permissões à aplicação chamando o endpoint de consentimento do administrador.
    Verifique se as ServiceNow aplicações principais necessárias para oferecer suporte à integração estão instaladas e ativadas antes de configurar esta integração.

    O plug-in ServiceNow Integration Hub Starter Pack Installer [com.glide.hub.integrations] é necessário.

    O plug-in Security Incident Response (com.snc.security_incident) é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras aplicações Operações de segurança que são necessárias para a integração.

    Verifique se as Operações de segurança aplicações a seguir estão instaladas e ativadas a partir do ServiceNow Store. Se essas aplicações ainda não estiverem instaladas, você deverá instalar e ativar cada aplicação, uma de cada vez, na seguinte ordem para garantir uma instalação sem problemas:

    1. Security Incident Response
    2. IU Security Incident Response
    3. Tempo de execução do ServiceNow IntegrationHub (com.glide.hub.integration.runtime)
    4. Etapa de ação do ServiceNow IntegrationHub — REST (com.glide.hub.action_step.rest)
    Registre e configure sua aplicação no Microsoft Azure portal. Registre sua aplicação no portal Microsoft Azure e conceda aos usuários acesso de leitura e gravação à aplicação.