Architecture d’intégration pour McAfee ePO

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • La rubrique suivante donne une vue d’ensemble de l’architecture système et répertorie les principales fonctionnalités de l’intégration. Cette section fournit également des informations sur les étapes de configuration que vous devez effectuer dans votre Now Platform instance et dans la console McAfee ePolicy Orchestrator (McAfee ePO) avant d’installer l’application à partir du ServiceNow Store.

    Termes clés pour l’intégration McAfee ePO

    Les termes suivants sont utilisés dans la documentation d’installation et de configuration de l’intégration.

    Now Platform
    Un produit d’entreprise ServiceNow Il Now Platform s’agit de la base sur laquelle les composants individuels, tels que Réponse aux incidents de sécurité (SIR), IT Service Management (ITSM) et d’autres produits sont construits.
    Réponse aux incidents de sécurité (SIR)
    Application Now Platform qui suit la progression des incidents de sécurité, depuis la détection et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à l’examen final et la fermeture post-incident.
    Module d'extension

    Les modules d’extension sont des composants logiciels qui fournissent des fonctions et des fonctionnalités spécifiques au sein de votre Now Platform instance. Pour en savoir plus sur l’installation et la configuration des modules d’extension d’intégration, reportez-vous à la section Installer l’application et configurer un serveur pour l’intégration McAfee ePO.

    ePolicy Orchestrator (McAfee ePO)
    Console utilisateur dans laquelle vous gérez les services, les produits et les paramètres McAfee.
    Module d’extension McAfee
    Ce ServiceNow module d’extension est requis pour cette intégration. Ce module d’extension réside sur votre McAfee ePO console et connecte votre McAfee ePO console à votre Now Platform instance.
    Option
    Activité automatique lancée à partir de votre Now Platform instance qui est exécutée dans la McAfee ePO console pour effectuer des requêtes d’enrichissement et effectuer des actions sur vos actifs.
    Profil
    Paramètres des McAfee ePO options que vous configurez pour spécifier quand et dans quelles conditions, les capacités effectuent des requêtes d’enrichissement et effectuent des actions sur vos actifs.
    Utiliser un MID Server
    Application qui facilite la communication et le mouvement de données entre le et des Now Platform applications, sources de données et services externes.
    ServiceNow Administrateur (admin)
    Un utilisateur disposant de ce rôle télécharge et installe les SIR modules d’extension and McAfee ePO sur votre Now Platform instance. Un utilisateur ayant ce rôle affecte également le rôle d’administrateur d’incident de sécurité si nécessaire.
    ServiceNow Administrateur d’incident de sécurité (sn_si.admin)
    Un utilisateur disposant de ce rôle effectue la configuration de l’intégration McAfee ePO avec le Réponse aux incidents de sécurité produit (SIR) dans votre Now Platform instance selon les besoins. Un utilisateur ayant ce rôle affecte également le rôle d’analyste d’incident de sécurité si besoin.
    ServiceNow Analyste des incidents de sécurité (sn_si.analyst)
    Un utilisateur disposant de ce rôle interagit avec les incidents de sécurité dans le produit SIR et les analyse.

    Connexion au système et flux de données

    La figure suivante est un exemple d’environnement client. Un Now Platform MID Server est nécessaire pour que votre Now Platform instance puisse se connecter à un McAfee ePO serveur (console) via un module d’extension ServiceNow d’extension. Une fois connecté, vous appelez les options de votre Now Platform pour lancer des analyses de logiciels malveillants, isoler les ordinateurs hôtes et les restaurer sur votre réseau, récupérer les résultats de la dernière analyse et collecter des détails système sur vos actifs. Lorsque ces options renvoient des résultats à partir de vos actifs qui correspondent à vos critères de recherche, les données sont extraites via le MID Server vers votre Now Platform instance. Les données sont affichées sur les listes connexes d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR). La figure suivante illustre le flux de données pour un groupe de points de terminaison gérés par une McAfee ePO console.

    Figure 1. Configuration de point de terminaison unique
    Première configuration.

    Comme le montre la figure suivante, cette intégration peut prendre en charge plusieurs McAfee ePO consoles. Vous pouvez avoir un groupe de points de terminaison gérés par une McAfee ePO console et un autre groupe de points de terminaison géré par une autre McAfee ePO console. Les données de plusieurs McAfee ePO consoles sont extraites via un seul MID Server. Toutefois, vous pouvez également préférer configurer plusieurs MID Server si votre organisation l’exige.

    Figure 2. Configuration des MID Servers
    Configurations multiples.

    Workflows pour l’intégration McAfee ePO

    Cette intégration inclut les workflows suivants. Ces workflows sont préconfigurés et conçus spécifiquement pour cette intégration. Vous pouvez modifier ces workflows pour répondre aux besoins de votre organisation selon vos besoins. Pour plus d’informations générales sur les workflows et l’utilisation de l’éditeur de workflow, consultez Premiers pas avec les workflows.

    • Intégration McAfee ePO pour Security Operations : obtenir les détails de l’hôte
    • Intégration McAfee ePO pour Security Operations - Lancer l’analyse des programmes malveillants
    • Intégration McAfee ePO pour Security Operations : isoler l’hôte
    • Intégration McAfee ePO pour Security Operations : liste des événements de menace
    • Intégration McAfee ePO pour Security Operations : supprimer l’isolement

    Connexion à des systèmes externes

    L’intégration nécessite que le MID Server communique avec la McAfee ePO console via le protocole HTTPS.