Arquitetura de integração para McAfee ePO

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • O tópico a seguir é uma visão geral da arquitetura do sistema e lista os principais recursos da integração. Esta seção também fornece informações sobre as etapas de configuração que você precisa concluir na instância Now Platform e no console do McAfee ePolicy Orchestrator (McAfee ePO) antes de instalar a aplicação do ServiceNow Store.

    Termos-chave para a integração McAfee ePO

    Os termos a seguir são usados em toda a documentação de instalação e configuração da integração.

    Now Platform
    Um produto empresarial ServiceNow. O Now Platform é a base sobre a qual componentes individuais, como Security Incident Response (SIR), IT Service Management (ITSM) e outros produtos são criados.
    Security Incident Response (SIR)
    Uma aplicação Now Platform que rastreia o andamento dos incidentes de segurança desde a descoberta e a análise inicial, passando pela contenção, erradicação e recuperação, até a revisão e fechamento pós-incidente finais.
    Plug-in

    Plug-ins são componentes de software que fornecem recursos e funcionalidades específicos em sua instância Now Platform. Para obter mais informações sobre a instalação e configuração dos plug-ins de integração, consulte Instalar a aplicação e configurar um servidor para a integração McAfee ePO.

    ePolicy Orchestrator (McAfee ePO)
    O console do usuário em que você gerencia os serviços, produtos e configurações da McAfee.
    Plug-in de extensão da McAfee
    Este plug-in de extensão ServiceNow é necessário para esta integração. Este plug-in reside no console McAfee ePO e conecta o console McAfee ePO à sua instância Now Platform.
    Capacidade
    Uma atividade automática iniciada em sua instância Now Platform que é executada no console McAfee ePO para conduzir consultas de aprimoramento e executar ações em seus ativos.
    Perfil
    Configurações para capacidades McAfee ePO que você configura para especificar quando e sob quais condições as capacidades conduzem consultas de aprimoramento e executam ações em seus ativos.
    MID server
    Uma aplicação que facilita a comunicação e a movimentação de dados entre Now Platform e aplicações externas, fontes de dados e serviços.
    ServiceNow administrador (admin)
    Um usuário com esta função baixa e instala os plug-ins SIR e McAfee ePO na sua instância Now Platform. Um usuário com esta função também atribui a função de administrador de incidente de segurança conforme necessário.
    ServiceNow Administrador de incidentes de segurança (sn_si.admin)
    Um usuário com esta função executa a configuração da integração McAfee ePO com o produto Security Incident Response (SIR) em sua instância Now Platform conforme necessário. Um usuário com esta função também atribui a função de analista de incidente de segurança conforme necessário.
    ServiceNow analista de incidente de segurança (sn_si.analyst)
    Um usuário com esta função interage e analisa os incidentes de segurança no produto SIR.

    Conexão do sistema e fluxo de dados

    A figura a seguir é um exemplo de um ambiente de cliente. Um MID Server Now Platform é necessário para que sua instância Now Platform possa se conectar a um servidor McAfee ePO (console) por meio de um plug-in de extensão ServiceNow. Depois de conectado, você invoca recursos do seu Now Platform para iniciar verificações de malware, isolar máquinas host e restaurá-las para sua rede, recuperar resultados da última verificação e coletar detalhes do sistema em seus ativos. Quando esses recursos retornam resultados de seus ativos que correspondem aos seus critérios de pesquisa, os dados são extraídos por meio do MID Server para sua instância Now Platform. Os dados são exibidos nas listas relacionadas de um incidente de segurança Now Platform Security Incident Response (SIR). A figura a seguir ilustra o fluxo de dados para um grupo de endpoints gerenciados por um console McAfee ePO.

    Figura 1. Configuração de endpoint único
    Configuração um.

    Conforme mostrado na figura a seguir, esta integração pode oferecer suporte a mais de um console McAfee ePO. Você pode ter um grupo de endpoints gerenciados por um console McAfee ePO e outro grupo de endpoints gerenciados por outro console McAfee ePO. Os dados de vários consoles McAfee ePO são extraídos por meio de um único MID Server. No entanto, você também pode configurar vários MID Servers, se exigido pela sua organização.

    Figura 2. Configuração de MID servers
    Várias configurações.

    Fluxos de trabalho para a integração McAfee ePO

    Esta integração inclui os seguintes fluxos de trabalho. Esses fluxos de trabalho são pré-configurados e projetados especificamente para esta integração. Você pode editar esses fluxos de trabalho para atender às necessidades da sua organização, conforme necessário. Para obter mais informações gerais sobre fluxos de trabalho e como usar o editor de fluxo de trabalho, consulte Introdução a fluxos de trabalho.

    • Integração do McAfee EPO com o Security Operations - Obter detalhes do host
    • Integração do Security Operations com o McAfee EPO - Iniciar verificação de malware
    • Integração do Security Operations McAfee EPO - Isolar host
    • Integração do Security Operations McAfee EPO - Listar eventos de ameaça
    • Security Operations McAfee EPO integration - Remove Isolation

    Conexão de sistemas externos

    A integração requer que o MID Server se comunique via conexão de protocolo HTTPS com o console McAfee ePO.