Integration „McAfee ePO“
Die Funktion „Endpoint Detection and Response (EDR) der McAfee ePO -Integration, die Analysten des Security Operations Center (SOC) hilft, Cyberbedrohungen zu identifizieren und den durch schädliche Dateien verursachten Schaden zu beheben.
Übersicht
In dieser Integration werden zwei Gruppen von McAfee ePO -Fähigkeiten verwendet: zum einen die Fähigkeiten, die Aktionen aufrufen, z. B. das Isolieren eines Hosts und das Initiieren eines Malware-Scans, und zum anderen die Fähigkeiten, die Abfragen ausführen, um Systemdetails und Bedrohungsereignisse zu erfassen. Beide Arten von Fähigkeiten, Aktionen und Abfragen, werden von Ihrer Instanz Now Platform® aus aufgerufen. Sie können diese Fähigkeiten so gruppieren, dass sie automatisch ausgeführt werden, wenn ein bestimmter Typ von Sicherheitsereignis auftritt, oder Sie können sie manuell über einen Security Incident Now Platform® aufrufen.
Die folgenden McAfee ePO -Fähigkeiten sind für diese Integration verfügbar.
- Ruft Systemdetails ab
- Erfassen Sie Systemdetails, einschließlich Details zum Betriebssystem.
- Initiieren Sie die Malware-Prüfung
- Initiieren Sie basierend auf der Scan-Konfiguration und -Zeitplanung einen Scan eines betroffenen Endpunkts.
- Host isolieren/die Isolierung aufheben
- Entfernen Sie ein System zu Untersuchungszwecken aus dem Netzwerkzugriff, und stellen Sie den Zugriff auf das Netzwerk wieder her.
- Bedrohungsereignisse auflisten
- Compliance-Status und aktuelle Bedrohungsereignisse erfassen
Schlüsselfunktionen
Diese Integration enthält die folgenden Schlüsselfunktionen.
- Unterstützt die automatisierte Auslösung von Abfragen McAfee ePO, die auf Incident-Bedingungen basieren.
- Unterstützt das manuelle Starten von McAfee ePO -Fähigkeiten aus Now Platform® Security Incident Response (SIR) Security Incidents, die bei Bedarf Aktionen ausführen.
- Die Flexibilität, mehrere Profile zum Auslösen verschiedener Arten von McAfee ePO - und Now Platform® Security Operations -Fähigkeiten zu erstellen. Diese Profile sammeln Informationen zu Bedrohungsereignissen oder führen Aktionen basierend auf den Bedingungen bestimmter Incident-Kategorien wie Malware aus.
- Validieren Sie Ihre Profilkonfiguration mit einer Vorschau der McAfee ePO -Ergebnisse für SIR -Security Incidents.
- Wenn Tagging aktiviert ist, geben Sicherheits-Tags an, welche McAfee ePO -Fähigkeiten anfänglich von einem Workflow gestartet werden und wann die Abfragen oder Aktionen erfolgreich abgeschlossen wurden.
- Ein vollständiger Audit-Pfad der McAfee ePO Abfragen und Aktionen wird in den Arbeitsnotizen zu den SIR Security Incidents veröffentlicht, und Befehle von Now Platform® werden in der Konsole McAfee ePO ] protokolliert.
- Unterstützt mehrere McAfee ePO -Konsolen.
ServiceNow Plugins
Das Plugin com.snc.si_dep ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.
- Security Integration Framework
- Security Support Common
- Security Support Orchestration
- Security Incident Response
- Arbeitsbereich für Security Incident Response
Weitere Informationen zum Einrichten der Instanz Now Platform für die Integration finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration McAfee ePO ein.
Das Erweiterungs-Plugin ServiceNow
Die ServiceNow Security Operations-Erweiterung für das McAfee ePO-℠ Erweiterungs-Plugin ist für diese Integration erforderlich. Sie installieren dieses ServiceNow Plugin in Ihrer McAfee ePO -Konsole. Weitere Informationen finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration McAfee ePO ein.
MID-Server
Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrer Instanz Now Platform®, um eine Verbindung zum Server McAfee ePO (Konsole) herzustellen. Weitere Informationen zu MID-Servern finden Sie auf der Website der ServiceNow-Produktdokumentation.
Unterstützte Versionen von McAfee
Die Integration unterstützt Version 5.9.1 und 5.10 von McAfee ePO. Unterstützt McAfee Agent: MA 5.5.1.388 Weitere Informationen zu McAfee-Produkten und ePolicy Orchestrator finden Sie auf der McAfee-Produktwebsite.
Die Integration unterstützt Version 10.5 des Produkts McAfee Endpoint Security Threat Prevention. Wenn Sie Version 10.5 nicht ausführen, wenden Sie sich an Ihren McAfee ePO -Administrator, um zu erfahren, ob Ihre Version Scans bei Bedarf über Tag-Aktionen unterstützen kann.
McAfee ePO Sicherheits-Tags werden in dieser Integration verwendet. Sie müssen diese Tags in Ihrer McAfee ePO -Konsole erstellen. Weitere Informationen zu diesen Tags finden Sie unter Richten Sie die McAfee ePO -Konsole für die Integration mit Security Incident Response (SIR) ein..
Referenzen
| Referenz | Dokumentbezeichner | Dokumententitel |
|---|---|---|
| 1 | McAfee-Produktwebsite |
McAfee-Produktwebsite |
| 2 | McAfee Business-Produktdokumentation für ePolicy Orchestrator Cloud |
McAfee-Produktdokumentation |
| 3 | ServiceNow Website mit Produktdokumentation |
Website mit Produktdokumentation von ServiceNow |
Eine Prüfliste zum Nachverfolgen Ihres Fortschritts bei der Einrichtung, Installation und Überprüfung der Ergebnisse für die Integration finden Sie unter Prüfliste für die McAfee ePO -Integration.
Damit die Installation der Anwendung reibungslos verläuft und Sie die erwarteten Ergebnisse überprüfen können, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.