Verwenden der -Integration von McAfee ePO in Analyst Workspace

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die McAfee ePO -Integration, um die McAfee ePO -Fähigkeiten im SIR-Analystenarbeitsbereich zu nutzen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Bevor Sie die McAfee ePO -Integration im Security Incident Response-Arbeitsbereich verwenden, müssen Sie sie aus dem ServiceNow Store herunterladen und konfigurieren. Weitere Informationen finden Sie unter Richten Sie Ihre Instanz Now Platform für die Integration McAfee ePO ein.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die Integration McAfee ePO verwenden, um Korrekturaktionen für die Endpunkte in Echtzeit durchzuführen, Profile zum Sammeln von Details zum Host zu verwenden und über den Arbeitsbereich Security Incident Response spezifische Abfragen oder Aktionen für den Endpunkt durchzuführen.

    Die McAfee ePO -Integration ermöglicht Analysten die Verwendung der folgenden McAfee ePO -Funktionen im Security Incident Response -Arbeitsbereich für Analysten:
    • Hostdetails abrufen
    • Host isolieren
    • Isolation entfernen
    • Zusätzliche Aktion(en) für Endpunkt ausführen

    Prozedur

    1. Um den Security Incident im SIR-Arbeitsbereich zu öffnen, klicken Sie im Security Incident auf Zu SIR-Arbeitsbereich wechseln.
    2. Wählen Sie im SIR-Arbeitsbereich die Registerkarte Zugehörige Datensätze.
    3. Wählen Sie ein beliebiges Konfigurationselementaus, und wählen Sie eine McAfee ePO-Fähigkeit aus, die in der Dropdown-Aktion der zugehörigen Liste ausgelöst werden soll.
      Beispiel: Hostdetails abrufen.

      McAfee ePO-Fähigkeit, die über die zugehörige Liste ausgelöst werden soll

    4. Wählen Sie im Popup-Fenster „Hostdetails abrufen“ die McAfee ePO -Implementierung aus.
      Ruft Hostdetails ab
    5. Klicken Sie auf Absenden.
      Die Fähigkeit „Hostdetails abrufen“ wird für das CI aufgerufen. Sie können die Arbeitsnotizen für die -Ergebnisse und -Ergebnisse anzeigen.
    6. Um die Daten für die ausgelöste Fähigkeit anzuzeigen, wählen Sie die Registerkarte Ermittlung.
    7. Wählen Sie das Konfigurationselementaus, und klicken Sie auf die Aktion Zugehörige Informationen anzeigen.
      Die zugehörigen Informationen des Konfigurationselements werden angezeigt. Beispiel: Hostdetails.Zugehörige Informationen des Konfigurationselements
    8. Klicken Sie auf das Configuration Item (Konfigurationselement), um die Hostdetails anzuzeigen.
      Ebenso können Sie versuchen, die andere McAfee ePO-Funktion für Ihre Security Incidents im SIR-Analystenarbeitsbereich zu verwenden.
    9. Sie können die McAfee ePO-Fähigkeiten in der zugehörigen Liste „Endpoint Detection and Response (EDR)“ für Analysen verwenden.
    10. Durchsuchen und ein Profil aus der Liste der verfügbaren Profile auswählen
      Die Liste der verfügbaren Profile lautet „Hostdetails abrufen“, „Hostcomputer isolieren“ und „Isolierung entfernen“. Wählen Sie beispielsweise Get Host Details (Hostdetails abrufen).
    11. Wählen Sie die McAfee ePO- Implementierung aus, und klicken Sie auf Absenden.