Integrationsarchitektur für McAfee ePO

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Das folgende Thema bietet einen Überblick über die Systemarchitektur und listet die wichtigsten Funktionen der Integration auf. Dieser Abschnitt enthält auch Informationen zu den Setup-Schritten, die Sie in ausführen müssen Now PlatformInstanz und im McAfee ePolicy Orchestrator ( McAfee ePO)-Konsole vor der Installation der Anwendung über ServiceNow Store.

    Schlüsselbegriffe für McAfee ePOIntegration

    Die folgenden Begriffe werden in der Installations- und Konfigurationsdokumentation für die Integration verwendet.

    Now Platform
    Ein Unternehmen ServiceNowProdukt. Die Now PlatformIst die Basis, auf der einzelne Komponenten basieren, z. B. Security Incident Response( SIR), IT-Servicemanagement, (ITSM) und andere Produkte werden erstellt.
    Antwort auf Security Incidents (SIR)
    A Now PlatformAnwendung, die den Fortschritt von Security Incidents von der Discovery und ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und Schließung von Security Incidents nachverfolgt.
    Plugin

    Plugins sind Softwarekomponenten, die bestimmte Funktionen in Ihrem bereitstellen Now PlatformInstanz. Weitere Informationen zur Installation und Konfiguration der Integrations-Plugins finden Sie unter Installieren Sie die Anwendung, und konfigurieren Sie einen Server für McAfee ePOIntegration.

    EPolicy-Orchestrator (McAfee ePO)
    Die Anwenderkonsole, in der Sie die McAfee-Services, -Produkte und -Einstellungen verwalten.
    McAfee-Erweiterungs-Plugin
    Dies ServiceNowDas Erweiterungs-Plugin ist für diese Integration erforderlich. Dieses Plugin befindet sich auf Ihrem McAfee ePOKonsole und verbindet McAfee ePOKonsole zu Ihrem Now PlatformInstanz.
    Fähigkeit
    Eine automatische Aktivität, die von Ihrem initiiert wurde Now PlatformInstanz, die in ausgeführt wird McAfee ePOKonsole zum Durchführen von Ergänzungsabfragen und Ausführen von Aktionen für Ihre Assets.
    Profil
    Einstellungen für McAfee ePOFähigkeiten, die Sie konfigurieren, um anzugeben, wann und unter welchen Bedingungen Fähigkeiten Ergänzungsabfragen durchführen und Aktionen für Ihre Assets ausführen.
    MID-Server verwenden
    Eine Anwendung, die die Kommunikation und den Datenverkehr zwischen erleichtert Now PlatformUnd externe Anwendungen, Datenquellen und Services.
    ServiceNow Administrator (Administrator)
    Ein Anwender mit dieser Rolle lädt herunter und installiert SIRUnd McAfee ePOPlugins zu Ihrem Now PlatformInstanz. Ein Anwender mit dieser Rolle weist bei Bedarf auch die Security Incident-Administratorrolle zu.
    ServiceNow Security Incident-Administrator (sn_si.admin)
    Ein Anwender mit dieser Rolle führt die Konfiguration von durch McAfee ePOIntegration mit Security Incident Response( SIR) Produkt in Ihrem Now PlatformInstanz nach Bedarf. Ein Anwender mit dieser Rolle weist bei Bedarf auch die Rolle „Security Incident-Analyst“ zu.
    ServiceNow Security Incident-Analyst (sn_si.Analyst)
    Ein Anwender mit dieser Rolle interagiert mit Security Incidents im SIR-Produkt und analysiert sie.

    Systemverbindung und Daten-Flow

    Die folgende Abbildung ist ein Beispiel für eine Kundenumgebung. A Now PlatformMID-Server ist erforderlich, damit Ihr Now PlatformInstanz kann eine Verbindung zu herstellen McAfee ePOServer (Konsole) über ServiceNowErweiterungs-Plugin. Nachdem Sie verbunden sind, rufen Sie Fähigkeiten von auf Now PlatformUm Malware-Scans zu initiieren, isolieren Sie Hostcomputer, und stellen Sie sie in Ihrem Netzwerk wieder her, rufen Sie die letzten Scan-Ergebnisse ab, und sammeln Sie Systemdetails zu Ihren Assets. Wenn diese Fähigkeiten Ergebnisse aus Ihren Assets zurückgeben, die Ihren Suchkriterien entsprechen, werden Daten über den MID-Server in abgerufen Now PlatformInstanz. Daten werden in den zugehörigen Listen von angezeigt Now Platform Security Incident Response( SIR) Security Incident. Die folgende Abbildung zeigt den Daten-Flow für eine Gruppe von Endpunkten, die von einem verwaltet werden McAfee ePOKonsole.

    Abbildung : 1. Konfiguration eines einzelnen Endpunkts
    Konfiguration 1.

    Wie in der folgenden Abbildung gezeigt, kann diese Integration mehrere unterstützen McAfee ePOKonsole. Sie können eine Gruppe von Endpunkten von einem verwalten lassen McAfee ePOKonsole und eine andere Gruppe von Endpunkten, die von einer anderen verwaltet werden McAfee ePOKonsole. Daten aus mehreren McAfee ePOKonsolen werden über einen einzelnen MID-Server abgerufen. Sie können jedoch auch mehrere MID-Server konfigurieren, wenn dies von Ihrer Organisation erforderlich ist.

    Abbildung : 2. MID-Serverkonfiguration
    Mehrere Konfigurationen.

    Workflows für McAfee ePOIntegration

    Diese Integration enthält die folgenden Workflows. Diese Workflows sind vorkonfiguriert und speziell für diese Integration entwickelt. Sie können diese Workflows nach Bedarf bearbeiten, um die Anforderungen Ihrer Organisation zu erfüllen. Weitere allgemeine Informationen zu Workflows und zur Verwendung des Workflow-Editors finden Sie unter Erste Schritte mit Workflows .

    • Integration von McAfee-EPO für Security Operations – Hostdetails abrufen
    • Integration von McAfee-EPO für Security Operations – Malware-Scan initiieren
    • Integration von McAfee-EPO für Sicherheitsvorgänge – Host isolieren
    • Integration von McAfee-EPO für Security Operations – Listen Sie Bedrohungsereignisse auf
    • Integration von Security Operations McAfee EPO – Isolierung entfernen

    Verbindung mit externen Systemen

    Die Integration erfordert, dass der MID-Server über eine HTTPS-Protokollverbindung mit kommuniziert McAfee ePOKonsole.