용 통합 아키텍처 McAfee ePO

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기4분

    • 다음 항목은 시스템 아키텍처에 대한 개요이며 통합의 주요 기능을 나열합니다. 또한 이 섹션에서는 에서 응용프로그램ServiceNow Store을 설치하기 전에 인스턴스 Now Platform 및 McAfee ePolicy Orchestrator()McAfee ePO 콘솔에서 완료해야 하는 설정 단계에 대한 정보도 제공합니다.

    통합의 McAfee ePO 주요 용어

    다음 용어는 통합을 위한 설치 및 구성 설명서 전체에서 사용됩니다.

    Now Platform
    엔터프라이즈 ServiceNow 제품입니다. Now Platform 는 (),SIR ITSM(IT Service Management) 및 기타 제품과 같은 보안 인시던트 응답 개별 구성요소가 빌드되는 기반입니다.
    보안 인시던트 응답(SIR)
    Now Platform 검색 및 초기 분석부터 방지, 근절 및 복구를 거쳐 최종 사후 인시던트 검토 및 종결에 이르는 보안 인시던트의 진행 상황을 추적하는 애플리케이션입니다.
    플러그인

    플러그인은 인스턴스 내에서 특정 기능 및 기능성을 제공하는 소프트웨어 구성요소입니다 Now Platform . 통합 플러그인의 설치 및 구성에 대한 자세한 내용은 문서를 참조하십시오 애플리케이션 설치 및 통합을 위한 McAfee ePO 서버 구성.

    ePolicy Orchestrator(McAfee ePO)
    McAfee 서비스, 제품 및 설정을 관리하는 사용자 콘솔입니다.
    McAfee 확장 플러그인
    이 통합에는 이 ServiceNow 확장 플러그인이 필요합니다. 이 플러그인은 콘솔에 있으며 McAfee ePO 콘솔을 McAfee ePONow Platform 인스턴스에 연결합니다.
    역량
    인스턴스에서 시작되는 Now Platform 자동 활동으로, 강화 쿼리를 수행하고 자산에 대한 작업을 수행하기 위해 콘솔에서 실행됩니다 McAfee ePO .
    프로파일
    역량이 강화 쿼리를 수행하고 자산에 대한 작업을 수행하는 시기와 조건을 지정하기 위해 구성하는 역량에 대한 McAfee ePO 설정입니다.
    MID 서버
    외부 애플리케이션, 데이터 소스 및 서비스 간의 Now Platform 데이터 이동과 통신을 용이하게 하는 애플리케이션입니다.
    ServiceNow 관리자(admin)
    이 역할이 있는 사용자가 AND McAfee ePO 플러그인을 Now Platform 다운로드하여 인스턴스에 설치합니다SIR. 또한 이 역할을 가진 사용자는 필요에 따라 보안 인시던트 관리자 역할도 할당합니다.
    ServiceNow 보안 인시던트 관리자(sn_si.admin)
    이 역할을 가진 사용자는 필요에 따라 인스턴스의 (SIR) 제품 Now Platform 과의 보안 인시던트 응답 통합 구성을 McAfee ePO 수행합니다. 이 역할을 가진 사용자는 필요에 따라 보안 인시던트 분석가 역할도 할당합니다.
    ServiceNow 보안 인시던트 분석가(sn_si.analyst)
    이 역할을 가진 사용자는 SIR 제품의 보안 인시던트와 상호작용하고 이를 분석합니다.

    시스템 연결 및 데이터 흐름

    다음 그림은 고객 환경의 예입니다. Now Platform 인스턴스가 확장 플러그인을 통해 ServiceNow 서버(콘솔)에 McAfee ePO 연결할 수 있도록 MID Now Platform 서버가 필요합니다. 연결되면 사용자의 Now Platform 기능을 호출하여 멀웨어 스캔을 시작하고, 호스트 시스템을 격리 및 네트워크로 복원하고, 마지막 스캔 결과를 검색하고, 자산에 대한 시스템 상세 정보를 수집할 수 있습니다. 이러한 역량이 검색 기준과 일치하는 자산에서 결과를 반환하면 MID Server를 통해 데이터를 인스턴스로 Now Platform 끌어옵니다. 데이터는 (SIR) 보안 인시던트의 Now Platform 보안 인시던트 응답 관련 목록에 표시됩니다. 다음 그림에서는 하나의 McAfee ePO 콘솔에서 관리되는 한 엔드포인트 그룹에 대한 데이터 흐름을 보여 줍니다.

    그림 1. 단일 엔드포인트 구성
    구성 1.

    다음 그림과 같이 이 통합은 둘 McAfee ePO 이상의 콘솔을 지원할 수 있습니다. 한 McAfee ePO 콘솔에서 관리하는 엔드포인트 그룹과 다른 McAfee ePO 콘솔에서 관리하는 다른 엔드포인트 그룹을 가질 수 있습니다. 여러 McAfee ePO 콘솔의 데이터가 단일 MID Server를 통해 끌어와집니다. 그러나 조직에서 필요로 할 경우 여러 MID Server를 구성하는 것을 선호할 수도 있습니다.

    그림 2. MID 서버 구성
    여러 구성.

    통합을 위한 McAfee ePO 워크플로우

    이 통합에는 다음 워크플로우가 포함됩니다. 이러한 워크플로우는 사전 구성되어 있으며 이 통합을 위해 특별히 설계되었습니다. 필요에 따라 이러한 워크플로우를 조직의 필요에 맞게 편집할 수 있습니다. 워크플로 및 워크플로 편집기 사용에 대한 자세한 내용은 워크플로 시작을 참조하세요.

    • 보안 운영 McAfee EPO 통합 - 호스트 상세 정보 가져오기
    • 보안 운영 McAfee EPO 통합 - 맬웨어 검색 시작
    • 보안 운영 McAfee EPO 통합 - 호스트 격리
    • 보안 운영 McAfee EPO 통합 - 위협 이벤트 나열
    • 보안 운영 McAfee EPO 통합 - 격리 제거

    외부 시스템 연결

    통합하려면 MID 서버가 HTTPS 프로토콜 연결을 통해 콘솔과 McAfee ePO 통신해야 합니다.