Integração de McAfee ePO

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • A capacidade de detecção e resposta de endpoint de integração McAfee ePO que ajuda os analistas do Security Operations Center (SOC) a identificar ameaças cibernéticas e reparar os danos causados por arquivos mal-intencionados.

    Visão geral

    Há dois conjuntos de recursos McAfee ePO usados nesta integração, os recursos que invocam ações, como isolar um host e iniciar uma verificação de malware, e os recursos que executam consultas para coletar detalhes do sistema e eventos de ameaça. Ambos os tipos de recursos, as ações e as consultas, são invocados de sua instância Now Platform®. Você pode agrupar esses recursos para que eles sejam executados automaticamente quando ocorrer um tipo específico de evento de segurança ou invocá-los manualmente a partir de um incidente de segurança Now Platform®.

    Os seguintes recursos McAfee ePO estão disponíveis para esta integração.

    Obter detalhes do sistema
    Reúna detalhes do sistema que incluem detalhes do sistema operacional.
    Iniciar verificação de malware
    Com base na configuração e na programação da verificação, inicie uma verificação de um endpoint afetado.
    Isolar/desassociar host
    Remova um sistema do acesso à rede para investigação e restaure o acesso à rede.
    Listar eventos de ameaça
    Reúna o status de conformidade e os eventos de ameaça mais recentes.

    Principais recursos

    Esta integração inclui os seguintes recursos principais.

    • Oferece suporte ao acionamento automatizado de McAfee ePO consultas baseadas em condições de incidente.
    • Oferece suporte à inicialização de McAfee ePO recursos manualmente de Now Platform® Security Incident Response (SIR) incidentes de segurança que executam ações sob demanda.
    • A flexibilidade para criar vários perfis para acionar diferentes tipos de recursos McAfee ePO e Now Platform® Security Operations. Esses perfis coletam informações de eventos de ameaça ou executam ações com base nas condições de categorias de incidentes específicas, como malware.
    • Valide a configuração do seu perfil com uma visualização dos resultados de SIRMcAfee ePO em incidentes de segurança [].
    • Se a marcação estiver habilitada, os marcadores de segurança identificarão quais McAfee ePO recursos são iniciados inicialmente por um fluxo de trabalho e quando as consultas ou ações são concluídas com sucesso.
    • Uma trilha de auditoria completa das McAfee ePO consultas e ações é publicada nas anotações de trabalho em SIR incidentes de segurança e os comandos do Now Platform® são registrados no console McAfee ePO.
    • Oferece suporte a vários consoles McAfee ePO.

    ServiceNow Plug-ins

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Security Incident Response. Instale e ative este plug-in antes de instalar e ativar as outras Security Operations aplicações.

    As aplicações Security Operations a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative um aplicativo de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Security Integration Framework
    2. Security Support Common
    3. Orquestração de suporte de segurança
    4. Security Incident Response
    5. Espaço de resposta a incidentes de segurança

    Para obter mais informações sobre como configurar sua instância Now Platform para a integração, consulte Configure sua instância Now Platform para a integração McAfee ePO.

    O plug-in de extensão ServiceNow

    O plug-in ServiceNow Security Operations Extension for McAfee ePO℠ é necessário para esta integração. Você instala este plug-in ServiceNowMcAfee ePO no console []. Para obter mais informações, consulte Configure sua instância Now Platform para a integração McAfee ePO.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao servidor McAfee ePO (console). Consulte o site de documentação do produto da ServiceNow para obter mais informações sobre MID Servers.

    Versões compatíveis do McAfee

    A integração é compatível com as versões 5.9.1 e 5.10 de McAfee ePO. Ele oferece suporte ao McAfee Agent: MA 5.5.1.388. Para obter mais informações sobre os produtos da McAfee e o ePolicy Orchestrator, consulte o site do produto da McAfee.

    A integração é compatível com a versão 10.5 do produto McAfee Endpoint Security Threat Prevention. Se você não estiver executando a versão 10.5, consulte o administrador McAfee ePO para ver se sua versão pode oferecer suporte a verificações sob demanda por meio de ações de marcador.

    McAfee ePO marcadores de segurança são usados nesta integração. Você deve criar esses marcadores no console McAfee ePO. Para obter mais informações sobre esses marcadores, consulte Configure seu console McAfee ePO para integrar com Security Incident Response (SIR).

    Referências

    Referência Identificador de documento Título do Documento
    1

    Site do produto da McAfee

    		 Site do produto da McAfee
    2

    Documentação de produto de negócios da McAfee para ePolicy Orchestrator Cloud

    		 Documentação de produto da McAfee
    3

    ServiceNow Site da documentação do produto

    		 Site de documentação do produto da ServiceNow

    Para obter uma check-list para rastrear seu andamento com a configuração, instalação e verificação dos resultados da integração, consulte Check-list para a integração McAfee ePO.

    Para uma instalação sem problemas do aplicativo e para ajudá-lo a verificar os resultados esperados, siga os tópicos na ordem em que são apresentados.