Architecture d’intégration pour McAfee ePO

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • La rubrique suivante donne un aperçu de l’architecture du système et répertorie les principales fonctionnalités de l’intégration. Cette section fournit également des informations sur les étapes de configuration que vous devez effectuer dans votre Now Platform instance et dans la console McAfee ePolicy Orchestrator (McAfee ePO) avant d’installer l’application à partir de .ServiceNow Store

    Termes clés pour l’intégration McAfee ePO

    Les termes suivants sont utilisés dans la documentation d’installation et de configuration de l’intégration.

    Now Platform
    Un produit d’entreprise ServiceNow . Il Now Platform s’agit de la base sur laquelle reposent les composants individuels, tels que Réponse aux incidents de sécurité (SIR), IT Service Management (ITSM) et d’autres produits.
    Réponse aux incidents de sécurité (SIR)
    Une Now Platform application qui suit la progression des incidents de sécurité depuis la découverte et l’analyse initiale, en passant par le confinement, l’éradication et la récupération, jusqu’à la revue et la fermeture finales post-incident.
    Module d'extension

    Les modules d’extension sont des composants logiciels qui fournissent des fonctionnalités spécifiques au sein de votre Now Platform instance. Pour plus d’informations sur l’installation et la configuration des modules d’extension d’intégration, reportez-vous à la section Installez l’application et configurez un serveur pour l’intégration McAfee ePO.

    Orchestrateur ePolicy (McAfee ePO)
    Console utilisateur dans laquelle vous gérez les services, les produits et les paramètres McAfee.
    Module d’extension McAfee
    Ce ServiceNow module d’extension est requis pour cette intégration. Ce module d’extension réside sur votre McAfee ePO console et la connecte McAfee ePO à votre Now Platform instance.
    Aptitude
    Une activité automatique lancée à partir de votre Now Platform instance qui s’exécute dans la McAfee ePO console pour effectuer des requêtes d’enrichissement et effectuer des actions sur vos actifs.
    Profil
    Les paramètres des McAfee ePO options que vous configurez pour spécifier quand et dans quelles conditions les options exécutent des requêtes d’enrichissement et effectuent des actions sur vos actifs.
    Utiliser un Serveur MID
    Application qui facilite la communication et le mouvement de données entre les applications, les sources de données et les Now Platform services externes.
    ServiceNow Administrateur (admin)
    Un utilisateur disposant de ce rôle télécharge et installe les modules d’extension et SIRMcAfee ePO sur votre Now Platform instance. Un utilisateur disposant de ce rôle affecte également le rôle d’administrateur d’incident de sécurité selon les besoins.
    ServiceNow Administrateur d’incident de sécurité (sn_si.admin)
    Un utilisateur disposant de ce rôle effectue la configuration de l’intégration McAfee ePO avec le Réponse aux incidents de sécurité produit (SIR) dans votre Now Platform instance selon les besoins. Un utilisateur disposant de ce rôle affecte également le rôle d’analyste des incidents de sécurité selon les besoins.
    ServiceNow Analyste des incidents de sécurité (sn_si.analyst)
    Un utilisateur disposant de ce rôle interagit avec les incidents de sécurité dans le produit SIR et les analyse.

    Connexion système et flux de données

    La figure suivante est un exemple d’environnement client. Un Now Platform Serveur MID est requis pour que votre Now Platform instance puisse se connecter à un McAfee ePO serveur (console) via un module d’extension ServiceNow Une fois connecté, vous appelez vos options pour lancer des analyses anti-programmes malveillants, isoler les ordinateurs hôtes et les restaurer sur votre réseau, récupérer les résultats de Now Platform la dernière analyse et collecter les détails système sur vos actifs. Lorsque ces fonctionnalités renvoient des résultats de vos actifs qui correspondent à vos critères de recherche, les données sont extraites via le serveur MID vers votre Now Platform instance. Les données sont affichées sur les listes connexes d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR). La figure suivante illustre le flux de données pour un groupe de points de terminaison gérés par une McAfee ePO seule console.

    Figure 1. Configuration de point de terminaison unique
    Première configuration.

    Comme le montre la figure suivante, cette intégration peut prendre en charge plus d’une McAfee ePO console. Vous pouvez avoir un groupe de points de terminaison géré par une McAfee ePO console et un autre groupe de points de terminaison géré par une autre McAfee ePO console. Les données de plusieurs McAfee ePO consoles sont extraites via un seul MID Server. Toutefois, vous pouvez également préférer configurer plusieurs serveurs MID si votre organisation l’exige.

    Figure 2. Configuration des MID Servers
    Configurations multiples.

    Workflows pour l’intégration McAfee ePO

    Cette intégration comprend les workflows suivants. Ces workflows sont préconfigurés et conçus spécifiquement pour cette intégration. Vous pouvez modifier ces workflows pour répondre aux besoins de votre organisation, selon vos besoins. Pour plus d’informations générales sur les workflows et l’utilisation de l’éditeur de workflow, voir Introduction aux workflows.

    • Intégration de Security Operations à McAfee ePO : obtenir les détails de l’hôte
    • Intégration de Security Operations à McAfee ePO : lancer l’analyse anti-programme malveillant
    • Intégration de Security Operations à McAfee ePO : isoler l’hôte
    • Opérations de sécurité Intégration McAfee ePO : liste Événements de menace
    • Intégration McAfee ePO pour Opérations de sécurité - Supprimer l’isolement

    Connexion aux systèmes externes

    L’intégration nécessite que le serveur MID communique via une connexion de protocole HTTPS à la McAfee ePO console.