McAfee ePO intégration
L’aptitude McAfee ePO de détection et de réponse des points de terminaison d’intégration (EDR) qui aide les analystes du centre des opérations de sécurité (SOC) à identifier les cybermenaces et à réparer les dommages causés par les fichiers malveillants.
Vue d'ensemble
Deux ensembles d’options McAfee ePO sont utilisés dans cette intégration : les options qui appellent des actions, telles que l’isolement d’un hôte et le lancement d’une analyse de programme malveillant, et les options qui exécutent des requêtes pour collecter les détails du système et les événements de menace. Les deux types d’options, les actions et les requêtes, sont invoqués à partir de votre Now Platform® instance. Vous pouvez regrouper ces options afin qu’elles s’exécutent automatiquement lorsqu’un type spécifique d’événement de sécurité se produit, ou vous pouvez les invoquer manuellement à partir d’un Now Platform® incident de sécurité.
Les options suivantes McAfee ePO sont disponibles pour cette intégration.
- Obtenir les détails du système
- Rassemblez les détails système, y compris les détails du système d’exploitation.
- Lancer l’analyse anti-programme malveillant
- En fonction de la configuration et de la planification de l’analyse, lancez une analyse d’un point de terminaison impacté.
- Isoler/Ne pas isoler l’hôte
- Supprimez un système de l’accès réseau pour enquête et restaurez l’accès au réseau.
- Répertorier les événements de menace
- Recueillez l’état de conformité et les événements de menace les plus récents.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes.
- Prend en charge le déclenchement automatisé de requêtes basées sur les conditions de McAfee ePO l’incident.
- Prend en charge le lancement McAfee ePO manuel d’options à partir d’incidents de Now Platform® Réponse aux incidents de sécurité sécurité (SIR) qui effectuent des actions à la demande.
- La possibilité de créer plusieurs profils pour déclencher différents types et McAfee ePONow Platform® Opérations de sécurité options. Ces profils collectent des informations sur les événements de menace ou effectuent des actions en fonction des conditions de catégories d’incidents spécifiques telles que les programmes malveillants.
- Validez la configuration de votre profil avec un aperçu des résultats sur SIR les McAfee ePO incidents de sécurité.
- Si le balisage est activé, les balises de sécurité identifient quelles McAfee ePO options sont initialement lancées par un workflow et quand les requêtes ou actions sont terminées avec succès.
- Une piste d’audit complète des requêtes et des actions est publiée dans les notes de McAfee ePO travail sur SIR les incidents de sécurité, et les Now Platform® commandes du sont consignées dans la McAfee ePO console.
- Prend en charge plusieurs McAfee ePO consoles.
ServiceNow Modules d’extension
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances nécessaires à la prise en charge du Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.
- Cadre de travail de Security Integration
- Security Support Common
- Orchestration de support de sécurité
- Réponse aux incidents de sécurité
- Espace de travail Réponse aux incidents de sécurité
Pour en savoir plus sur la configuration de votre Now Platform instance pour l’intégration, reportez-vous à la section Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Le ServiceNow module d’extension
Le module d’extension d’extension ServiceNow Security Operations pour McAfee ePO℠ est requis pour cette intégration. Vous installez ce ServiceNow module d’extension dans votre McAfee ePO console. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Serveur MID
Cette intégration nécessite l’installation et la McAfee ePO configuration d’un serveur MID Server dans votre Now Platform® instance pour vous connecter au serveur (console). Consultez le site web de la documentation produit ServiceNow pour plus d’informations sur les MID Servers.
Versions prises en charge de McAfee
L’intégration prend en charge les versions 5.9.1 et 5.10 de McAfee ePO. Il prend en charge McAfee Agent : MA 5.5.1.388 Pour plus d’informations sur les produits McAfee et ePolicy Orchestrator, reportez-vous au site Web des produits McAfee.
L’intégration prend en charge la version 10.5 du produit McAfee Endpoint Security Threat Prevention. Si vous n’utilisez pas la version 10.5, consultez votre McAfee ePO administrateur pour savoir si votre version peut prendre en charge les analyses à la demande via des actions de balises.
McAfee ePO Les balises de sécurité sont utilisées dans cette intégration. Vous devez créer ces balises dans votre McAfee ePO console. Pour plus d’informations sur ces balises, reportez-vous à la section Configurer votre McAfee ePO console pour qu’elle s’intègre à Réponse aux incidents de sécurité (SIR).
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Site Web des produits McAfee |
Site Web des produits McAfee |
| 2 | Documentation produit McAfee Business pour ePolicy Orchestrator Cloud |
Documentation produit McAfee |
| 3 | ServiceNow Site web de la documentation produit |
Site web de la documentation produit ServiceNow |
Pour obtenir une liste de vérification permettant de suivre la progression de la configuration, de l’installation et de la vérification des résultats de l’intégration, reportez-vous à la section Liste de vérification pour l’intégration McAfee ePO.
Pour une installation fluide de l’application et pour vous aider à vérifier les résultats attendus, suivez les rubriques dans l’ordre où elles sont présentées.