Architecture d’intégration pour McAfee ePO
La rubrique suivante est une vue d’ensemble de l’architecture du système et répertorie les principales fonctionnalités de l’intégration. Cette section fournit également des informations sur les étapes de configuration que vous devez effectuer dans votre ServiceNow AI Platform instance et dans la console McAfee ePolicy Orchestrator (McAfee ePO) avant d’installer l’application à partir du ServiceNow Store.
Termes clés pour l’intégration McAfee ePO
Les termes suivants sont utilisés dans la documentation d’installation et de configuration de l’intégration.
- ServiceNow AI Platform
- Un produit d’entreprise ServiceNow . Il ServiceNow AI Platform s’agit de la base sur laquelle les composants individuels, tels que Réponse aux incidents de sécurité (SIR), Gestion des services IT (ITSM) et d’autres produits, sont construits.
- Réponse aux incidents de sécurité (SIR)
- Application ServiceNow AI Platform qui suit la progression des incidents de sécurité, de la découverte et de l’analyse initiale au confinement, en passant par l’éradication et la récupération, jusqu’à la revue et la fermeture finales post-incident.
- Module d’extension
Les modules d’extension sont des composants logiciels qui fournissent des fonctionnalités spécifiques dans votre ServiceNow AI Platform instance. Pour en savoir plus sur l’installation et la configuration des modules d’extension d’intégration, reportez-vous à la section Installez l’application et configurez un serveur pour l’intégration McAfee ePO.
- ePolicy Orchestrator (McAfee ePO)
- Console utilisateur dans laquelle vous gérez les services, produits et paramètres McAfee.
- Module d’extension McAfee
- Ce ServiceNow module d’extension est requis pour cette intégration. Ce module d’extension se trouve sur votre McAfee ePO console et connecte votre McAfee ePO console à votre ServiceNow AI Platform instance.
- Aptitude
- Une activité automatique lancée à partir de votre ServiceNow AI Platform instance qui s’exécute dans la McAfee ePO console pour effectuer des requêtes d’enrichissement et effectuer des actions sur vos actifs.
- Profil
- Paramètres des McAfee ePO options que vous configurez pour spécifier quand et dans quelles conditions les options exécutent des requêtes d’enrichissement et des actions sur vos actifs.
- Utiliser un Serveur MID
- Une application qui facilite la communication et le mouvement de données entre les applications, les sources de données et les ServiceNow AI Platform services externes.
- ServiceNow Administrateur (admin)
- Un utilisateur disposant de ce rôle télécharge et installe les modules d’extension SIR et McAfee ePO sur votre ServiceNow AI Platform instance. Un utilisateur possédant ce rôle affecte également le rôle d’administrateur des incidents de sécurité selon les besoins.
- ServiceNow Administrateur des incidents de sécurité (sn_si.admin)
- Un utilisateur disposant de ce rôle effectue la configuration de l’intégration McAfee ePO avec le Réponse aux incidents de sécurité produit (SIR) dans votre ServiceNow AI Platform instance selon les besoins. Un utilisateur possédant ce rôle affecte également le rôle d’analyste d’incident de sécurité selon les besoins.
- ServiceNow Analyste des incidents de sécurité (sn_si.analyst)
- Un utilisateur disposant de ce rôle interagit avec les incidents de sécurité du produit SIR et les analyse.
Connexion système et flux de données
La figure suivante est un exemple d’environnement client. Un ServiceNow AI Platform serveur MID est requis pour que votre ServiceNow AI Platform instance puisse se connecter à un McAfee ePO serveur (console) via un module d’extension du module d’extension ServiceNow . Une fois connecté, vous appelez les options de votre ServiceNow AI Platform pour lancer des analyses de programmes malveillants, isoler les ordinateurs hôtes et les restaurer sur votre réseau, récupérer les résultats de la dernière analyse et recueillir des détails système sur vos actifs. Lorsque ces options renvoient des résultats de vos actifs qui correspondent à vos critères de recherche, les données sont extraites via le serveur MID vers votre ServiceNow AI Platform instance. Les données sont affichées dans les listes connexes d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR). La figure suivante illustre le flux de données pour un groupe de points de terminaison gérés par une McAfee ePO seule console.
Comme le montre la figure suivante, cette intégration peut prendre en charge plusieurs McAfee ePO consoles. Vous pouvez avoir un groupe de points de terminaison géré par une McAfee ePO console et un autre groupe de points de terminaison géré par une autre McAfee ePO console. Les données provenant de plusieurs McAfee ePO consoles sont extraites via un seul serveur MID. Toutefois, vous pouvez également préférer configurer plusieurs serveurs MID si votre organisation l’exige.
Workflows pour l’intégration McAfee ePO
Cette intégration comprend les workflows suivants. Ces workflows sont préconfigurés et conçus spécifiquement pour cette intégration. Vous pouvez modifier ces workflows pour répondre aux besoins de votre organisation selon vos besoins. Pour plus d’informations générales sur les workflows et l’utilisation de l’éditeur de workflow, voir Prise en main des workflows.
- Intégration de McAfee ePO pour Opérations de sécurité : obtenir les détails de l’hôte
- Intégration McAfee ePO pour Opérations de sécurité : lancer l’analyse anti-programme malveillant
- Intégration McAfee ePO pour Opérations de sécurité : isoler l’hôte
- Intégration McAfee ePO pour Opérations de sécurité : répertorier les événements de menace
- Intégration McAfee ePO pour Opérations de sécurité - Supprimer l’isolement
Connexion aux systèmes externes
L’intégration nécessite que le serveur MID communique via une connexion au protocole HTTPS avec la McAfee ePO console.