용 통합 아키텍처 McAfee ePO

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기4분

    • 다음 주제는 시스템 아키텍처의 개요이며 통합의 주요 기능을 나열합니다. 또한 이 섹션에서는 에서 응용프로그램을 ServiceNow Store설치하기 전에 인스턴스 및 McAfee ePolicy Orchestrator (McAfee ePO) 콘솔에서 Now Platform 완료해야 하는 설정 단계에 대한 정보를 제공합니다.

    통합에 대한 McAfee ePO 주요 용어

    다음 용어는 통합을 위한 설치 및 구성 설명서 전체에서 사용됩니다.

    Now Platform
    기업용 ServiceNow 제품입니다. Now Platform(), ITSM(IT Service Management) 및 기타 제품과 같은 보안 인시던트 응답SIR개별 구성요소가 구축되는 기반입니다.
    Security Incident Response(SIR)
    Now Platform 보안 인시던트의 검색 및 초기 분석부터 방지, 근절 및 복구를 거쳐 최종 사후 인시던트 검토 및 종결까지 보안 인시던트의 진행 상황을 추적하는 애플리케이션입니다.
    플러그인

    플러그인은 인스턴스 내의 특정 기능을 제공하는 소프트웨어 구성요소입니다 Now Platform . 통합 플러그인의 설치 및 구성에 대한 자세한 내용은 을 참조하십시오 애플리케이션을 설치하고 통합을 위한 McAfee ePO 서버를 구성합니다.

    ePolicy Orchestrator(McAfee ePO)
    McAfee 서비스, 제품 및 설정을 관리하는 사용자 콘솔입니다.
    McAfee 확장 플러그인
    이 통합에는 이 ServiceNow 확장 플러그인이 필요합니다. 이 플러그인은 콘솔에 McAfee ePO 상주하며 콘솔을 Now Platform 인스턴스에 연결합니다McAfee ePO.
    역량
    인스턴스에서 Now Platform 시작된 자동 활동으로, 콘솔에서 McAfee ePO 실행되어 보강 쿼리를 수행하고 자산에 대한 작업을 수행합니다.
    프로필
    역량이 보강 쿼리를 수행하고 자산에 대한 작업을 수행하는 시기와 조건을 지정하기 위해 구성하는 역량에 대한 McAfee ePO 설정입니다.
    MID Server
    과 외부 애플리케이션, 데이터 소스 및 서비스 간의 Now Platform 데이터 이동 및 통신을 용이하게 하는 애플리케이션입니다.
    ServiceNow 관리자(admin)
    이 역할을 가진 사용자는 인스턴스에 and McAfee ePO 플러그인 Now PlatformSIR 다운로드하여 설치합니다. 이 역할을 가진 사용자는 필요에 따라 보안 인시던트 관리자 역할도 할당합니다.
    ServiceNow 보안 인시던트 관리자(sn_si.admin)
    이 역할을 가진 사용자는 필요에 따라 인스턴스의 Now Platform (SIR) 제품과의 보안 인시던트 응답 통합 구성을 McAfee ePO 수행합니다. 이 역할을 보유한 사용자는 필요에 따라 보안 인시던트 분석가 역할도 할당합니다.
    ServiceNow 보안 인시던트 분석가(sn_si.analyst)
    이 역할을 가진 사용자는 SIR 제품의 보안 인시던트와 상호작용하고 분석합니다.

    시스템 연결 및 데이터 흐름

    다음 그림은 고객 환경의 예입니다. Now Platform 인스턴스가 확장 플러그인을 통해 ServiceNow 서버(콘솔)에 McAfee ePO 연결할 수 있으려면 Now Platform MID Server가 필요합니다. 연결되면 맬웨어 검사를 시작하고, 호스트 시스템을 격리하고, 네트워크로 복원하고, 마지막 검사 결과를 검색하고, 자산에 대한 시스템 세부 정보를 수집하는 기능을 Now Platform 호출합니다. 이러한 기능이 검색 기준과 일치하는 자산에서 결과를 반환하면 MID Server를 통해 데이터를 인스턴스로 Now Platform 끌어옵니다. 데이터는 (SIR) 보안 인시던트의 관련 목록에 Now Platform 보안 인시던트 응답 표시됩니다. 다음 그림에서는 하나의 McAfee ePO 콘솔에서 관리하는 한 끝점 그룹에 대한 데이터 흐름을 보여 줍니다.

    그림 1. 단일 엔드포인트 구성
    구성 하나.

    다음 그림에서 볼 수 있듯이 이 통합은 둘 McAfee ePO 이상의 콘솔을 지원할 수 있습니다. 한 콘솔에서 한 끝점 그룹을 관리하고 McAfee ePO 다른 끝점 그룹을 다른 McAfee ePO 콘솔에서 관리할 수 있습니다. 여러 McAfee ePO 콘솔의 데이터는 단일 MID Server를 통해 끌어옵니다. 그러나 조직에서 필요한 경우 여러 MID Server를 구성하는 것이 좋습니다.

    그림 2. MID 서버 구성
    여러 구성.

    통합을 위한 McAfee ePO 워크플로우

    이 통합에는 다음과 같은 워크플로우가 포함됩니다. 이러한 워크플로우는 미리 구성되어 있으며 이 통합을 위해 특별히 설계되었습니다. 필요에 따라 이러한 워크플로우를 조직의 필요에 맞게 편집할 수 있습니다. 워크플로우 및 워크플로우 편집기 사용에 대한 자세한 내용은 워크플로우 시작하기를 참조하십시오.

    • Security Operations McAfee EPO 통합 - 호스트 상세 정보 가져오기
    • Security Operations McAfee EPO 통합 - 악성 프로그램 검색 시작
    • Security Operations McAfee EPO 통합 - 호스트 격리
    • Security Operations McAfee EPO 통합 - 위협 이벤트 나열
    • Security Operations McAfee EPO 통합 - 격리 제거

    외부 시스템 연결

    통합을 위해서는 MID Server가 HTTPS 프로토콜 연결을 통해 콘솔과 통신해야 합니다 McAfee ePO .