Intégration McAfee ePO
L’intégration McAfee ePO de la fonction de détection et de réponse des points de terminaison (EDR) aide les analystes du Centre des opérations de sécurité (SOC) à identifier les cybermenaces et à réparer les dommages causés par les fichiers malveillants.
Vue d’ensemble de l’intégration McAfee ePO
Deux ensembles d’options sont utilisés dans cette intégration, les options qui appellent des McAfee ePO actions, telles que l’isolement d’un hôte et le lancement d’une analyse de programme malveillant, et les options qui exécutent des requêtes pour recueillir des détails sur le système et les événements de menace. Les deux types d’options, les actions et les requêtes, sont invoqués à partir de votre ServiceNow AI Platform® instance. Vous pouvez regrouper ces options afin qu’elles s’exécutent automatiquement lorsqu’un type spécifique d’événement de sécurité se produit, ou vous pouvez les invoquer manuellement à partir d’un ServiceNow AI Platform® incident de sécurité.
Les options suivantes McAfee ePO sont disponibles pour cette intégration.
- Obtenir les détails du système
- Rassemblez les détails du système, y compris ceux du système d’exploitation.
- Lancer l’analyse anti-programme malveillant
- En fonction de la configuration et de la planification de l’analyse, lancez l’analyse d’un point de terminaison impacté.
- Isoler/Ne pas isoler l’hôte
- Supprimez un système de l’accès au réseau pour enquête et restaurez l’accès au réseau.
- Répertorier les événements de menace
- Rassemblez l’état de conformité et les événements de menace les plus récents.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes.
- Prend en charge le déclenchement automatisé des requêtes basées sur les conditions de l’incident McAfee ePO .
- Prend en charge le lancement McAfee ePO manuel d’options à partir d’incidents ServiceNow AI Platform® Réponse aux incidents de sécurité de sécurité ()SIR qui exécutent des actions à la demande.
- La possibilité de créer plusieurs profils pour déclencher différents types d’options McAfee ePOServiceNow AI Platform® Opérations de sécurité . Ces profils collectent des informations sur les événements de menace ou exécutent des actions en fonction des conditions de catégories d’incidents spécifiques, telles que les programmes malveillants.
- Validez la configuration de votre profil avec un aperçu des résultats sur SIR les McAfee ePO incidents de sécurité.
- Si le balisage est activé, les balises de sécurité identifient les McAfee ePO fonctionnalités initialement lancées par un workflow et lorsque les requêtes ou actions sont terminées avec succès.
- Une piste d’audit complète des requêtes et des actions est publiée dans les notes de McAfee ePO travail sur SIR les incidents de sécurité, et les commandes de celles-ci ServiceNow AI Platform® sont enregistrées dans la McAfee ePO console.
- Prend en charge plusieurs McAfee ePO consoles.
ServiceNow Modules d’extension
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.
- Cadre de travail d’intégration de sécurité
- Prise en charge de la sécurité commune
- Orchestration de support de sécurité
- Réponse aux incidents de sécurité
- Espace de travail Réponse aux incidents de sécurité
Pour en savoir plus sur la configuration de votre ServiceNow AI Platform instance pour l’intégration, reportez-vous à la rubrique Configurez votre ServiceNow AI Platform instance pour l’intégration McAfee ePO.
Module d’extension de l’extension ServiceNow
Le module d’extension ServiceNow Security Operations Extension pour McAfee ePO℠ est requis pour cette intégration. Vous installez ce ServiceNow module d’extension dans votre McAfee ePO console. Pour plus d'informations, consultez Configurez votre ServiceNow AI Platform instance pour l’intégration McAfee ePO.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un serveur MID dans votre ServiceNow AI Platform® instance pour vous connecter au McAfee ePO serveur (console). Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur les serveurs MID.
Versions prises en charge de McAfee
L’intégration prend en charge les versions 5.9.1 et 5.10 de McAfee ePO. Il prend en charge McAfee Agent : MA 5.5.1.388 Pour plus d’informations sur les produits McAfee et ePolicy Orchestrator, consultez le site Web des produits McAfee.
L’intégration prend en charge la version 10.5 du produit McAfee Endpoint Security Threat Prevention. Si vous n’exécutez pas la version 10.5, consultez votre McAfee ePO administrateur pour voir si votre version peut prendre en charge les analyses à la demande via des actions de balise.
McAfee ePO Les balises de sécurité sont utilisées dans cette intégration. Vous devez créer ces balises dans votre McAfee ePO console. Pour plus d’informations sur ces balises, reportez-vous à la section Configurer votre McAfee ePO console pour l’intégration à Réponse aux incidents de sécurité (SIR).
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Site Web des produits McAfee |
Site Web des produits McAfee |
| 2 | Documentation de McAfee Business Product pour ePolicy Orchestrator Cloud |
Documentation produit McAfee |
| 3 | ServiceNow Site web de la documentation produit |
Site Web de la documentation produit ServiceNow |
Pour obtenir une liste de vérification permettant de suivre votre progression dans la configuration, l’installation et la vérification des résultats de l’intégration, reportez-vous à la section Liste de vérification pour l’intégration McAfee ePO.
Pour une installation fluide de l’application et pour vous aider à vérifier les résultats attendus, suivez les rubriques dans l’ordre dans lequel elles sont présentées.