McAfee ePO integration
L’aptitude McAfee ePO d’intégration de détection et de réponse aux points de terminaison (EDR) qui aide les analystes du Centre des opérations de sécurité (SOC) à identifier les cybermenaces et à réparer les dommages causés par les fichiers malveillants.
Vue d'ensemble
Deux ensembles d’options sont utilisés dans cette intégration, les options qui appellent des actions, telles que l’isolement d’un hôte et le lancement d’une analyse anti-programme malveillant, et les options qui exécutent des requêtes pour recueillir les détails du système et les événements de McAfee ePO menace. Les deux types d’options, les actions et les requêtes, sont invoqués à partir de votre Now Platform® instance. Vous pouvez regrouper ces options afin qu’elles s’exécutent automatiquement lorsqu’un type spécifique d’événement de sécurité se produit, ou vous pouvez les invoquer manuellement à partir d’un Now Platform® incident de sécurité.
Les options suivantes McAfee ePO sont disponibles pour cette intégration.
- Obtenir les détails du système
- Rassemblez les détails du système, y compris ceux du système d’exploitation.
- Lancer l’analyse anti-programme malveillant
- En fonction de la configuration et de la planification de l’analyse, lancez une analyse d’un point de terminaison impacté.
- Isoler/Ne pas isoler l’hôte
- Supprimez un système de l’accès réseau pour enquête et rétablissez l’accès au réseau.
- Répertorier les événements de menace
- Rassemblez l’état de conformité et les événements de menace les plus récents.
Fonctionnalités principales
Cette intégration comprend les fonctionnalités clés suivantes.
- Prend en charge le déclenchement automatisé de requêtes basées sur les conditions d’incident McAfee ePO .
- Prend en charge le lancement McAfee ePO manuel d’options à partir d’incidents de Now Platform® Réponse aux incidents de sécurité sécurité (SIR) qui effectuent des actions à la demande.
- La possibilité de créer plusieurs profils pour déclencher différents types d’options McAfee ePONow Platform® Opérations de sécurité Ces profils recueillent des informations sur les événements de menace ou exécutent des actions en fonction des conditions de catégories d’incidents spécifiques, telles que les programmes malveillants.
- Validez la configuration de votre profil avec un aperçu des résultats sur SIR les McAfee ePO incidents de sécurité.
- Si le balisage est activé, les balises de sécurité identifient les McAfee ePO options initialement lancées par un workflow et lorsque les requêtes ou les actions sont terminées avec succès.
- Une piste d’audit complète des requêtes et des actions est publiée dans les notes de McAfee ePO travail sur SIR les incidents de sécurité, et les commandes de celles-ci Now Platform® sont enregistrées dans la McAfee ePO console.
- Prend en charge plusieurs McAfee ePO consoles.
ServiceNow Modules d’extension
Le module d’extension com.snc.si_dep est requis. Ce module d’extension installe automatiquement toutes les dépendances requises pour prendre en charge le Réponse aux incidents de sécurité produit. Installez et activez ce module d’extension avant d’installer et d’activer les autres Opérations de sécurité applications.
- Cadre de travail d’intégration de sécurité
- Security Support Common
- Orchestration du support de sécurité
- Réponse aux incidents de sécurité
- Espace de travail Réponse aux incidents de sécurité
Pour en savoir plus sur la configuration de votre Now Platform instance pour l’intégration, reportez-vous à la section Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Module d’extension de l’extension ServiceNow
Le module d’extension ServiceNow Security Operations Extension for McAfee ePO℠ est requis pour cette intégration. Vous installez ce ServiceNow module d’extension dans votre McAfee ePO console. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration McAfee ePO.
Serveur MID
Cette intégration nécessite l’installation et la configuration d’un serveur MID dans votre Now Platform® instance pour vous connecter au McAfee ePO serveur (console). Consultez le site Web de la documentation produit ServiceNow pour plus d’informations sur les serveurs MID.
Versions prises en charge de McAfee
L’intégration prend en charge les versions 5.9.1 et 5.10 de McAfee ePO. Il prend en charge McAfee Agent : MA 5.5.1.388 Pour plus d’informations sur les produits McAfee et ePolicy Orchestrator, consultez le site Web des produits McAfee.
L’intégration prend en charge la version 10.5 du produit McAfee Endpoint Security Threat Prevention. Si vous n’exécutez pas la version 10.5, consultez votre McAfee ePO administrateur pour voir si votre version peut prendre en charge les analyses à la demande via des actions de balise.
McAfee ePO Des balises de sécurité sont utilisées dans cette intégration. Vous devez créer ces balises dans votre McAfee ePO console. Pour plus d’informations sur ces balises, reportez-vous à la section Configurer votre McAfee ePO console à intégrer Réponse aux incidents de sécurité à (SIR).
Références
| Référence | Identificateur de document | Titre de document |
|---|---|---|
| 1 | Site Web des produits McAfee |
Site Web des produits McAfee |
| 2 | Documentation du produit McAfee Business pour ePolicy Orchestrator Cloud |
Documentation produit McAfee |
| 3 | ServiceNow Site web de la documentation produit |
Site web de la documentation produit ServiceNow |
Pour obtenir une liste de contrôle permettant de suivre votre progression dans la configuration, l’installation et la vérification des résultats de l’intégration, reportez-vous à la section Liste de vérification pour l’intégration McAfee ePO.
Pour une installation fluide de l’application et pour vous aider à vérifier les résultats attendus, suivez les rubriques dans l’ordre dans lequel elles sont présentées.