McAfee ePO intégration
La McAfee ePO fonctionnalité de détection et de réponse aux points de terminaison (EDR) d’intégration qui aide les analystes du centre des opérations de sécurité (SOC) à identifier les cybermenaces et à réparer les dommages causés par les fichiers malveillants.
Vue d'ensemble
Il existe deux ensembles d’options McAfee ePO utilisées dans cette intégration : les options qui invoquent des actions, telles que l’isolement d’un hôte et le lancement d’une analyse de programme malveillant, et les options qui exécutent des requêtes pour recueillir des détails système et des événements de menace. Les deux types d’options, les actions et les requêtes, sont invoqués à partir de votre Now Platform® instance. Vous pouvez regrouper ces options afin qu’elles s’exécutent automatiquement lorsqu’un type spécifique d’événement de sécurité se produit, ou vous pouvez les invoquer manuellement à partir d’un Now Platform® incident de sécurité.
Les options suivantes McAfee ePO sont disponibles pour cette intégration.
- Obtenir les détails du système
- Recueillir les détails du système, y compris ceux du système d’exploitation.
- Lancer l’analyse anti-programme malveillant
- En fonction de la configuration et de la planification de l’analyse, lancez une analyse d’un point de terminaison impacté.
- Isoler/Ne pas isoler l’hôte
- Supprimez un système de l’accès réseau pour enquête et restaurez l’accès au réseau.
- Répertorier les événements de menace
- Recueillir l’état de conformité et les événements de menace les plus récents.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes.
- Prend en charge le déclenchement automatisé des requêtes basées sur les conditions d’incident McAfee ePO .
- Prend en charge le lancement McAfee ePO manuel d’options à partir d’incidents de Now Platform® Réponse aux incidents de sécurité sécurité (SIR) qui effectuent des actions à la demande.
- La possibilité de créer plusieurs profils pour déclencher différents types et McAfee ePONow Platform® Security Operations options. Ces profils collectent des informations sur les événements de menace ou effectuent des actions basées sur les conditions de catégories d’incidents spécifiques telles que les programmes malveillants.
- Validez la configuration de votre profil avec un aperçu des résultats sur SIR les McAfee ePO incidents de sécurité.
- Si le balisage est activé, les balises de sécurité identifient les McAfee ePO options initialement lancées par un workflow et le moment où les requêtes ou les actions sont exécutées avec succès.
- Une piste d’audit complète des requêtes et des actions est publiée dans les notes de McAfee ePO travail sur SIR les incidents de sécurité, et les commandes de l’application Now Platform® sont consignées dans la McAfee ePO console.
- Prend en charge plusieurs McAfee ePO consoles.
ServiceNow Plugins
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Security Operations applications.
- Cadre de travail des intégrations de sécurité
- Security Support Common
- Orchestration du support de sécurité
- Réponse aux incidents de sécurité
- Espace de travail Réponse aux incidents de sécurité
Pour plus d’informations sur la configuration de votre Now Platform instance pour l’intégration, consultez Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Le ServiceNow module d’extension d’extension
Le module d’extension d’extension ServiceNow Security Operations Extension for McAfee ePO℠ est requis pour cette intégration. Vous installez ce ServiceNow module d’extension dans votre McAfee ePO console. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un MID Server dans votre Now Platform® instance pour se connecter au McAfee ePO serveur (console). Consultez le site web de la documentation produit ServiceNow pour plus d’informations sur les MID Servers.
Versions prises en charge de McAfee
L’intégration prend en charge les versions 5.9.1 et 5.10 de McAfee ePO. Il prend en charge McAfee Agent : MA 5.5.1.388 Pour plus d’informations sur les produits McAfee et ePolicy Orchestrator, reportez-vous au site Web du produit McAfee.
L’intégration prend en charge la version 10.5 du produit McAfee Endpoint Security Threat Prevention. Si vous n’exécutez pas la version 10.5, consultez votre McAfee ePO administrateur pour savoir si votre version peut prendre en charge les analyses à la demande via des actions de balise.
McAfee ePO Les balises de sécurité sont utilisées dans cette intégration. Vous devez créer ces balises dans votre McAfee ePO console. Pour en savoir plus sur ces balises, reportez-vous à la section Configurer votre McAfee ePO console pour l’intégration à Réponse aux incidents de sécurité (SIR).
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Site Web des produits McAfee |
Site Web des produits McAfee |
| 2 | Documentation produit McAfee Business pour ePolicy Orchestrator Cloud |
Documentation du produit McAfee |
| 3 | ServiceNow Site web de la documentation du produit |
Site Web de la documentation du produit ServiceNow |
Pour obtenir une liste de vérification vous permettant de suivre votre progression dans la configuration, l’installation et la vérification des résultats de l’intégration, consultez Liste de vérification pour l’intégration McAfee ePO.
Pour une installation fluide de l’application et pour vous aider à vérifier les résultats attendus, suivez les rubriques dans l’ordre dans lequel elles sont présentées.