Arquitetura de integração para McAfee ePO

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • O tópico a seguir é uma visão geral da arquitetura do sistema e lista os principais recursos da integração. Esta seção também fornece informações sobre as etapas de configuração que você deve concluir na instância Now Platform e no console do McAfee ePolicy Orchestrator (McAfee ePO) antes de instalar a aplicação a partir do ServiceNow Store.

    Termos-chave para a integração McAfee ePO

    Os termos a seguir são usados em toda a documentação de instalação e configuração da integração.

    Now Platform
    Um produto empresarial ServiceNow. O Now Platform é a base sobre a qual componentes individuais, como Resposta a incidentes de segurança (SIR), Gestão de serviços de TI (ITSM) e outros produtos são criados.
    Security Incident Response (SIR)
    Uma aplicação Now Platform que rastreia o andamento de incidentes de segurança desde a descoberta e análise inicial, passando pela contenção, erradicação e recuperação, até a revisão e fechamento pós-incidente finais.
    Plug-in

    Plug-ins são componentes de software que fornecem recursos e funcionalidades específicas em sua instância Now Platform. Para obter mais informações sobre a instalação e a configuração dos plug-ins de integração, consulte Instalar a aplicação e configurar um servidor para a integração McAfee ePO.

    ePolicy Orchestrator (McAfee ePO)
    O console do usuário onde você gerencia os serviços, produtos e configurações da McAfee.
    Plug-in de extensão da McAfee
    Este ServiceNow plug-in de extensão é necessário para esta integração. Este plug-in reside no console McAfee ePO e conecta o console McAfee ePO à instância Now Platform.
    Capacidade
    Uma atividade automática iniciada em sua instância Now Platform que é executada no console McAfee ePO para conduzir consultas de aprimoramento e executar ações em seus ativos.
    Perfil
    Configurações para capacidades McAfee ePO que você configura para especificar quando e sob quais condições as capacidades conduzem consultas de aprimoramento e executam ações em seus ativos.
    MID server
    Uma aplicação que facilita a comunicação e a movimentação de dados entre o Now Platform e aplicações, fontes de dados e serviços externos.
    ServiceNow administrador (admin)
    Um usuário com esta função baixa e instala os plug-ins SIR e McAfee ePO na sua instância Now Platform. Um usuário com esta função também atribui a função de administrador de incidentes de segurança conforme necessário.
    ServiceNow Administrador de incidentes de segurança (sn_si.admin)
    Um usuário com esta função executa a configuração da integração McAfee ePO com o produto Resposta a incidentes de segurança (SIR) em sua instância Now Platform, conforme necessário. Um usuário com esta função também atribui a função de analista de incidentes de segurança conforme necessário.
    ServiceNow analista de incidentes de segurança (sn_si.analyst)
    Um usuário com esta função interage e analisa incidentes de segurança no produto SIR.

    Conexão do sistema e fluxo de dados

    A figura a seguir é um exemplo de um ambiente do cliente. Um Now Platform MID Server é necessário para que sua instância Now Platform possa se conectar a um servidor McAfee ePO (console) por meio de um plug-in de extensão ServiceNow. Depois de conectado, você invoca capacidades do seu Now Platform para iniciar verificações de malware, isolar máquinas host e restaurá-las na rede, recuperar resultados da última verificação e coletar detalhes do sistema em seus ativos. Quando esses recursos retornam resultados de seus ativos que correspondem aos seus critérios de pesquisa, os dados são extraídos por meio do MID Server para sua instância Now Platform. Os dados são exibidos nas listas relacionadas de um incidente de segurança Now Platform Resposta a incidentes de segurança (SIR). A figura a seguir ilustra o fluxo de dados para um grupo de endpoints gerenciados por um console McAfee ePO.

    Figura 1. Configuração de endpoint único
    Configuração um.

    Conforme mostrado na figura a seguir, esta integração pode oferecer suporte a mais de um console McAfee ePO. Você pode ter um grupo de endpoints gerenciados por um console McAfee ePO e outro grupo de endpoints gerenciados por outro console McAfee ePO. Os dados de vários McAfee ePO consoles são extraídos por meio de um único MID Server. No entanto, você também pode preferir configurar vários MID Servers, se exigido pela sua organização.

    Figura 2. Configuração de MID servers
    Várias configurações.

    Fluxos de trabalho para a integração McAfee ePO

    Esta integração inclui os seguintes fluxos de trabalho. Esses fluxos de trabalho são pré-configurados e projetados especificamente para esta integração. Você pode editar esses fluxos de trabalho para atender às necessidades da sua organização, conforme necessário. Para obter informações mais gerais sobre fluxos de trabalho e como usar o editor de fluxo de trabalho, consulte Introdução a fluxos de trabalho.

    • Integração do McAfee EPO com o Security Operations - Obter detalhes do host
    • Integração do McAfee EPO com o Security Operations - Iniciar verificação de malware
    • Integração do McAfee EPO com o Security Operations - Isolar host
    • Integração do McAfee EPO com o Security Operations - Listar eventos de ameaça
    • Integração do McAfee EPO com o Security Operations - Remover isolamento

    Conexão de sistemas externos

    A integração requer que o MID Server se comunique por meio da conexão do protocolo HTTPS com o console McAfee ePO.