Integration „McAfee ePO

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die EDR-Fähigkeit (Integrationsendpunkterkennung und -reaktion) von McAfee ePO, mit der SOC-Analysten (Security Operations Center) Cyberbedrohungen identifizieren und den durch schädliche Dateien verursachten Schaden beheben können.

    Übersicht

    In dieser Integration werden zwei Sätze von McAfee ePO -Fähigkeiten verwendet: die Fähigkeiten, die Aktionen aufrufen, z. B. das Isolieren eines Hosts und das Initiieren eines Malware-Scans, und die Fähigkeiten, die Abfragen ausführen, um Systemdetails und Bedrohungsereignisse zu erfassen. Beide Arten von Fähigkeiten, die Aktionen und die Abfragen, werden von Ihrer Now Platform® -Instanz aus aufgerufen. Sie können diese Fähigkeiten gruppieren, sodass sie automatisch ausgeführt werden, wenn eine bestimmte Art von Sicherheitsereignis auftritt, oder Sie können sie manuell aus einem Now Platform® Security Incident aufrufen.

    Die folgenden McAfee ePO -Fähigkeiten sind für diese Integration verfügbar.

    Ruft Systemdetails ab
    Erfasst Systemdetails, einschließlich Details zum Betriebssystem.
    Initiiert einen Malware-Scan
    Initiieren Sie basierend auf der Scan-Konfiguration und -Zeitplanung einen Scan eines betroffenen Endpunkts.
    Host isolieren/nicht isolieren
    Entfernen Sie ein System zu Untersuchungszwecken aus dem Netzwerkzugriff, und stellen Sie den Zugriff auf das Netzwerk wieder her.
    Listet Bedrohungsereignisse auf
    Erfassen Sie den Compliance-Status und die aktuellen Bedrohungsereignisse.

    Schlüsselfunktionen

    Diese Integration umfasst die folgenden wichtigen Funktionen.

    • Unterstützt die automatisierte Auslösung von McAfee ePO Abfragen, die auf Incident-Bedingungen basieren.
    • Unterstützt das manuelle Starten von McAfee ePO -Fähigkeiten aus Now Platform® Security Incident Response (SIR) Security Incidents, die bei Bedarf Aktionen ausführen.
    • Die Flexibilität, mehrere Profile zum Auslösen verschiedener Arten von McAfee ePO - und Now Platform® Security Operations -Fähigkeiten zu erstellen. Diese Profile sammeln Informationen zu Bedrohungsereignissen oder führen Aktionen basierend auf den Bedingungen bestimmter Incident-Kategorien wie Malware aus.
    • Validieren Sie Ihre Profilkonfiguration mit einer Vorschau der McAfee ePO -Ergebnisse für SIR Security Incidents.
    • Wenn Tagging aktiviert ist, identifizieren Sicherheits-Tags, welche McAfee ePO -Fähigkeiten anfänglich von einem Workflow gestartet werden und wann die Abfragen oder Aktionen erfolgreich abgeschlossen sind.
    • Ein vollständiger Audit-Pfad der McAfee ePO -Abfragen und -Aktionen wird in den Arbeitsnotizen zu SIR Security Incidents veröffentlicht, und Befehle von Now Platform® werden in der McAfee ePO -Konsole protokolliert.
    • Unterstützt mehrere McAfee ePO -Konsolen.

    ServiceNow Plugins

    Das Plugin „com.snc.si_dep“ ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung des Produkts Security Incident Response erforderlich sind. Installieren und aktivieren Sie dieses Plugin, bevor Sie die anderen Security Operations -Anwendungen installieren und aktivieren.

    Die folgenden Security Operations Anwendungen müssen über den ServiceNow Storeinstalliert und aktiviert werden. Installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation zu gewährleisten:
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response
    5. Arbeitsbereich für Security Incident Response

    Weitere Informationen zum Einrichten der Instanz Now Platform für die Integration finden Sie unter Richten Sie Ihre Now Platform -Instanz für die McAfee ePO -Integration ein.

    Das Erweiterungs-Plugin ServiceNow

    Das Plugin „ServiceNow Security Operations Extension for McAfee ePO“℠ ist für diese Integration erforderlich. Sie installieren dieses ServiceNow -Plugin in Ihrer McAfee ePO -Konsole. Weitere Informationen finden Sie unter Richten Sie Ihre Now Platform -Instanz für die McAfee ePO -Integration ein.

    MID-Server

    Für diese Integration muss ein installierter und konfigurierter MID Server in Ihrer Now Platform® -Instanz eine Verbindung zum McAfee ePO -Server (Konsole) herstellen. Weitere Informationen zu MID Servern finden Sie auf der Website der ServiceNow-Produktdokumentation.

    Unterstützte Versionen von McAfee

    Die Integration unterstützt Version 5.9.1 und 5.10 von McAfee ePO. Sie unterstützt McAfee Agent: MA 5.5.1.388. Weitere Informationen zu McAfee-Produkten und dem ePolicy Orchestrator finden Sie auf der McAfee-Produktwebsite.

    Die Integration unterstützt Version 10.5 des Produkts McAfee Endpoint Security Threat Prevention. Wenn Sie Version 10.5 nicht ausführen, wenden Sie sich an Ihren McAfee ePO -Administrator, um zu erfahren, ob Ihre Version On-Demand-Scans über Tag-Aktionen unterstützen kann.

    McAfee ePO Sicherheits-Tags werden in dieser Integration verwendet. Sie müssen diese Tags in Ihrer McAfee ePO -Konsole erstellen. Weitere Informationen zu diesen Tags finden Sie unter Richten Sie die McAfee ePO -Konsole für die Integration mit Security Incident Response (SIR) ein..

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    McAfee-Produktwebsite

    		 McAfee-Produktwebsite
    2

    McAfee-Geschäftsproduktdokumentation für ePolicy Orchestrator Cloud

    		 McAfee-Produktdokumentation
    3

    ServiceNow Produktdokumentations-Website

    		 ServiceNow-Website mit Produktdokumentation

    Eine Prüfliste, um Ihren Fortschritt beim Einrichten, Installieren und Überprüfen der Ergebnisse für die Integration nachzuverfolgen, finden Sie unter Prüfliste für die McAfee ePO -Integration.

    Um eine reibungslose Installation der Anwendung zu gewährleisten und die erwarteten Ergebnisse zu überprüfen, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.