Integrationsarchitektur für McAfee ePO

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Das folgende Thema bietet einen Überblick über die Systemarchitektur von und listet die wichtigsten Funktionen der Integration auf. Dieser Abschnitt enthält auch Informationen zu den Setupschritten, die Sie in Ihrer -Instanz Now Platform und in der McAfee ePolicy Orchestrator-Konsole (McAfee ePO) ausführen müssen, bevor Sie die Anwendung von ServiceNow Storeinstallieren.

    Schlüsselbegriffe für die McAfee ePO Integration

    Die folgenden Begriffe werden in der gesamten Installations- und Konfigurationsdokumentation für die Integration verwendet.

    Now Platform
    Ein Produkt des Unternehmens ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management, (ITSM) und andere -Produkte basieren.
    Security Incident Response (SIR)
    Eine Anwendung Now Platform, die den Fortschritt von Security Incidents von der Discovery und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur abschließenden Überprüfung und Schließung nach Incident verfolgt.
    Plugin

    Plugins sind Softwarekomponenten, die bestimmte Funktionen und Funktionalitäten innerhalb Ihrer Instanz Now Platform bereitstellen. Weitere Informationen zur Installation und Konfiguration der Integrations-Plugins finden Sie unter Installieren Sie die Anwendung, und konfigurieren Sie einen Server für die McAfee ePO -Integration.

    ePolicy Orchestrator (McAfee ePO)
    Die Anwenderkonsole, mit der Sie die McAfee-Services, -Produkte und -Einstellungen verwalten.
    McAfee-Erweiterungs-Plugin
    Dieses ServiceNow Erweiterungs-Plugin ist für diese Integration erforderlich. Dieses Plugin befindet sich in Ihrer McAfee ePO -Konsole und verbindet Ihre McAfee ePO -Konsole mit Ihrer Now Platform -Instanz.
    Fähigkeit
    Eine automatische Aktivität, die von Ihrer Instanz Now Platform initiiert und in der Konsole McAfee ePO ausgeführt wird, um Ergänzungsabfragen und Aktionen für Ihre Assets durchzuführen.
    Profil
    Einstellungen für Fähigkeiten McAfee ePO, die Sie konfigurieren, um festzulegen, wann und unter welchen Bedingungen Fähigkeiten Ergänzungsabfragen und Aktionen für Ihre Assets durchführen.
    MID-Server verwenden
    Eine Anwendung, die die Kommunikation und die Bewegung von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services erleichtert.
    ServiceNow Administrator (admin)
    Ein Benutzer mit dieser Rolle lädt die Plugins SIR und McAfee ePO zu Ihrer Instanz Now Platform ] herunter und installiert sie. Ein Benutzer mit dieser Rolle weist bei Bedarf auch die Rolle „Security Incident-Administrator“ zu.
    ServiceNow Security Incident-Administrator (sn_si.admin)
    Ein Benutzer mit dieser Rolle führt die Konfiguration der McAfee ePO -Integration mit dem Produkt Security Incident Response (SIR) in Ihrer Instanz Now Platform nach Bedarf durch. Ein Benutzer mit dieser Rolle weist bei Bedarf auch die Rolle „Analyst für Security Incidents“ zu.
    ServiceNow Security Incident-Analyst (sn_si.analyst)
    Ein Benutzer mit dieser Rolle interagiert mit Security Incidents im Produkt SIR und analysiert sie.

    Systemverbindung und Datenfluss

    Die folgende Abbildung zeigt ein Beispiel für eine Kundenumgebung. Ein MID-Server Now Platform ist erforderlich, damit Ihre Instanz Now Platform ] über ein ServiceNow -Erweiterungs-Plugin eine Verbindung zu einem McAfee ePO -Server (Konsole) herstellen kann. Nachdem die Verbindung hergestellt wurde, rufen Sie Fähigkeiten von Ihrem Now Platform auf, um Malware-Scans zu initiieren, Hostcomputer zu isolieren und in Ihrem Netzwerk wiederherzustellen, die letzten Scan-Ergebnisse abzurufen und Systemdetails zu Ihren Assets zu erfassen. Wenn diese Fähigkeiten Ergebnisse von Ihren Assets zurückgeben, die Ihren Suchkriterien entsprechen, werden Daten über den MID-Server in Ihre Instanz Now Platform abgerufen. Daten werden in den zugehörigen Listen eines Security Incident Now Platform Security Incident Response (SIR) angezeigt. Die folgende Abbildung zeigt den Daten-Flow für eine Gruppe von Endpunkten, die von einer McAfee ePO -Konsole verwaltet werden.

    Abbildung : 1. Konfiguration eines einzelnen Endpunkts
    Konfiguration eins.

    Wie in der folgenden Abbildung dargestellt, kann diese Integration mehr als eine McAfee ePO -Konsole unterstützen. Sie können eine Gruppe von Endpunkten von einer McAfee ePO -Konsole und eine weitere Gruppe von Endpunkten von einer anderen McAfee ePO -Konsole verwalten. Daten von mehreren McAfee ePO -Konsolen werden über einen einzigen MID-Server abgerufen. Sie können jedoch auch mehrere MID-Server konfigurieren, wenn Ihre Organisation dies erfordert.

    Abbildung : 2. MID-Serverkonfiguration
    Mehrere Konfigurationen.

    Workflows für die -Integration McAfee ePO .

    Diese Integration umfasst die folgenden Workflows. Diese Workflows sind vorkonfiguriert und wurden speziell für diese Integration entwickelt. Sie können diese Workflows bei Bedarf so bearbeiten, dass sie den Anforderungen Ihrer Organisation entsprechen. Allgemeine Informationen zu Workflows und zur Verwendung des Workflow-Editors finden Sie unter Erste Schritte mit Workflows.

    • McAfee ePO-Integration für Security Operations: Hostdetails abrufen
    • Integration von McAfee ePO in Security Operations – Malware-Scan initiieren
    • Integration von McAfee ePO in Security Operations – Host isolieren
    • Integration von McAfee ePO in Security Operations – Bedrohungsereignisse auflisten
    • Integration von McAfee ePO in Security Operations – Isolation entfernen

    Verbindung mit externen Systemen

    Die Integration erfordert, dass der MID-Server über eine HTTPS-Protokollverbindung mit der McAfee ePO -Konsole kommuniziert.