McAfee ePO integração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • A capacidade McAfee ePO de detecção e resposta de endpoint (EDR) de integração que ajuda os analistas do Centro de Operações de Segurança (SOC) a identificar ameaças cibernéticas e reparar os danos causados por arquivos mal-intencionados.

    Visão geral

    Há dois conjuntos de capacidades McAfee ePO usadas nesta integração, as capacidades que invocam ações, como isolar um host e iniciar uma verificação de malware, e as capacidades que executam consultas para coletar detalhes do sistema e eventos de ameaça. Ambos os tipos de capacidades, as ações e as consultas, são invocados a partir da instância Now Platform®. Você pode agrupar esses recursos para que sejam executados automaticamente quando ocorrer um tipo específico de evento de segurança ou invocá-los manualmente a partir de um Now Platform® incidente de segurança.

    As seguintes capacidades McAfee ePO estão disponíveis para esta integração.

    Obter detalhes do sistema
    Reúna detalhes do sistema que incluem detalhes do sistema operacional.
    Iniciar verificação de malware
    Com base na configuração e programação da verificação, inicie uma verificação de um endpoint afetado.
    Isolar/Desfazer isolamento de host
    Remova um sistema do acesso à rede para investigação e restaure o acesso à rede.
    Listar eventos de ameaça
    Reúna o status de conformidade e os eventos de ameaça mais atuais.

    Principais recursos

    Esta integração inclui os seguintes recursos principais.

    • Oferece suporte ao acionamento automatizado de McAfee ePO consultas baseadas nas condições do incidente.
    • Oferece suporte à inicialização de McAfee ePO capacidades manualmente a partir de Now Platform® Resposta a incidentes de segurança (SIR) incidentes de segurança que executam ações sob demanda.
    • A flexibilidade de criar vários perfis para acionar diferentes tipos de capacidades McAfee ePO e Now Platform® Operações de segurança. Esses perfis reúnem informações de eventos de ameaça ou executam ações com base nas condições de categorias de incidentes específicas, como malware.
    • Valide a configuração do seu perfil com uma visualização dos McAfee ePO resultados em SIR incidentes de segurança.
    • Se a marcação estiver habilitada, os marcadores de segurança identificarão quais McAfee ePO capacidades são iniciadas inicialmente por um fluxo de trabalho e quando as consultas ou ações são concluídas com sucesso.
    • Uma trilha de auditoria completa das consultas e ações McAfee ePO é publicada nas anotações de trabalho em incidentes de segurança SIR, e os comandos do Now Platform® são registrados no console do McAfee ePO.
    • Oferece suporte a vários McAfee ePO consoles.

    ServiceNow Plug-ins

    O plug-in com.snc.si_dep é necessário. Este plug-in instala automaticamente todas as dependências necessárias para oferecer suporte ao produto Resposta a incidentes de segurança. Instale e ative este plug-in antes de instalar e ativar as outras Operações de segurança aplicações.

    As Operações de segurança aplicações a seguir devem ser instaladas e ativadas a partir do ServiceNow Store. Instale e ative uma aplicação de cada vez na ordem listada abaixo para garantir uma instalação sem problemas:
    1. Estrutura de integração de segurança
    2. Security Support Common
    3. Orquestração de suporte de segurança
    4. Resposta a incidentes de segurança
    5. Espaço de resposta a incidentes de segurança

    Para obter mais informações sobre como configurar sua instância Now Platform para a integração, consulte Configure sua instância Now Platform para a integração McAfee ePO.

    O plug-in de extensão ServiceNow

    O plug-in ServiceNow Security Operations Extension for McAfee ePO℠ é necessário para esta integração. Instale este plug-in ServiceNow no console McAfee ePO. Para obter mais informações, consulte Configure sua instância Now Platform para a integração McAfee ePO.

    MID Server

    Esta integração requer um MID Server instalado e configurado em sua instância Now Platform® para se conectar ao servidor McAfee ePO (console). Consulte o site de documentação de produtos da ServiceNow para obter mais informações sobre MID Servers.

    Versões compatíveis do McAfee

    A integração é compatível com as versões 5.9.1 e 5.10 de McAfee ePO. Ele oferece suporte ao McAfee Agent: MA 5.5.1.388 Para obter mais informações sobre os produtos da McAfee e o ePolicy Orchestrator, consulte o site do produto da McAfee.

    A integração é compatível com a versão 10.5 do produto McAfee Endpoint Security Threat Prevention. Se você não estiver executando a versão 10.5, consulte o administrador McAfee ePO para ver se sua versão pode oferecer suporte a verificações sob demanda por meio de ações de marcador.

    McAfee ePO marcadores de segurança são usados nesta integração. Você deve criar esses marcadores no console McAfee ePO. Para obter mais informações sobre esses marcadores, consulte Configure o console McAfee ePO para integração com Resposta a incidentes de segurança (SIR).

    Referências

    Referência Identificador de documento Título do Documento
    1

    Site do produto da McAfee

    		 Site do produto da McAfee
    2

    Documentação de produto de negócios da McAfee para ePolicy Orchestrator Cloud

    		 Documentação de produto da McAfee
    3

    ServiceNow Site da documentação do produto

    		 Site de documentação do produto da ServiceNow

    Para obter uma check-list para acompanhar o andamento da configuração, instalação e verificação dos resultados da integração, consulte Check-list para a integração McAfee ePO.

    Para uma instalação sem problemas da aplicação e para ajudá-lo a verificar os resultados esperados, siga os tópicos na ordem em que são apresentados.