Architecture d’intégration pour McAfee ePO

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • La rubrique suivante donne une vue d’ensemble de l’architecture système et répertorie les principales fonctionnalités de l’intégration. Cette section fournit également des informations sur les étapes de configuration que vous devez effectuer dans votre Now Platform instance et dans la console McAfee ePolicy Orchestrator(McAfee ePO) avant d’installer l’application à partir du ServiceNow Store.

    Termes clés pour l’intégration McAfee ePO

    Les termes suivants sont utilisés tout au long de la documentation d’installation et de configuration de l’intégration.

    Now Platform
    Un produit d’entreprise ServiceNow . Il s’agit Now Platform de la base sur laquelle reposent les composants individuels, tels que Réponse aux incidents de sécurité (),SIR IT Service Management (ITSM) et d’autres produits.
    Security Incident Response (SIR)
    Application Now Platform qui suit la progression des incidents de sécurité depuis la détection et l’analyse initiale jusqu’à l’examen final et la fermeture en passant par le confinement, l’éradication et la récupération.
    Module d'extension

    Les modules d’extension sont des composants logiciels qui fournissent des fonctionnalités spécifiques au sein de votre Now Platform instance. Pour en savoir plus sur l’installation et la configuration des modules d’extension d’intégration, reportez-vous à la section Installer l’application et configurer un serveur pour l’intégration McAfee ePO.

    ePolicy Orchestrator (McAfee ePO)
    Console utilisateur dans laquelle vous gérez les services, les produits et les paramètres McAfee.
    Module d’extension McAfee
    Ce ServiceNow module d’extension est requis pour cette intégration. Ce module d’extension réside sur votre McAfee ePO console et connecte votre McAfee ePO console à votre Now Platform instance.
    Aptitude
    Activité automatique lancée à partir de votre Now Platform instance qui est exécutée dans la McAfee ePO console pour effectuer des requêtes d’enrichissement et effectuer des actions sur vos actifs.
    Profil
    Paramètres pour McAfee ePO les options que vous configurez pour spécifier quand et dans quelles conditions les options effectuent des requêtes d’enrichissement et effectuent des actions sur vos actifs.
    Utiliser un MID Server
    Application qui facilite la communication et le mouvement des données entre la et des Now Platform applications, sources de données et services externes.
    ServiceNow Administrateur (admin)
    Un utilisateur disposant de ce rôle télécharge et installe les modules d’extension SIR et McAfee ePO sur votre Now Platform instance. Un utilisateur disposant de ce rôle affecte également le rôle d’administrateur des incidents de sécurité selon les besoins.
    ServiceNow Administrateur d’incident de sécurité (sn_si.admin)
    Un utilisateur doté de ce rôle effectue la configuration de l’intégration McAfee ePO avec le Réponse aux incidents de sécurité produit (SIR) dans votre Now Platform instance selon les besoins. Un utilisateur disposant de ce rôle affecte également le rôle d’analyste des incidents de sécurité selon les besoins.
    ServiceNow Analyste des incidents de sécurité (sn_si.analyst)
    Un utilisateur disposant de ce rôle interagit avec les incidents de sécurité dans le produit SIR et les analyse.

    Connexion au système et flux de données

    La figure suivante est un exemple d’environnement client. Un Now Platform MID Server est requis pour que votre Now Platform instance puisse se connecter à un McAfee ePO serveur (console) via un module d’extension ServiceNow d’extension. Une fois connecté, vous appelez les options de votre Now Platform pour lancer des analyses de programmes malveillants, isoler les ordinateurs hôtes et les restaurer sur votre réseau, récupérer les résultats de la dernière analyse et collecter les détails système sur vos actifs. Lorsque ces options renvoient des résultats de vos actifs qui correspondent à vos critères de recherche, les données sont extraites via le MID Server vers votre Now Platform instance. Les données sont affichées sur les listes connexes d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR). La figure suivante illustre le flux de données pour un groupe de points de terminaison gérés par une McAfee ePO console.

    Figure 1. Configuration d’un point de terminaison unique
    Première configuration.

    Comme le montre la figure suivante, cette intégration peut prendre en charge plusieurs McAfee ePO consoles. Vous pouvez avoir un groupe de points de terminaison gérés par une McAfee ePO console et un autre groupe de points de terminaison gérés par une autre McAfee ePO console. Les données de plusieurs McAfee ePO consoles sont extraites via un seul MID Server. Toutefois, vous pouvez également préférer configurer plusieurs MID Servers si votre organisation l’exige.

    Figure 2. Configuration des MID Servers
    Configurations multiples.

    Workflows pour l’intégration McAfee ePO

    Cette intégration comprend les workflows suivants. Ces workflows sont préconfigurés et conçus spécifiquement pour cette intégration. Vous pouvez modifier ces workflows pour répondre aux besoins de votre organisation, le cas échéant. Pour plus d’informations générales sur les workflows et l’utilisation de l’éditeur de workflow, consultez Prise en main des workflows.

    • Intégration McAfee ePO pour Security Operations - Obtenir les détails de l’hôte
    • Intégration McAfee ePO pour Security Operations - Lancer l’analyse anti-programme malveillant
    • Intégration McAfee ePO pour Security Operations - Isoler l’hôte
    • Intégration McAfee ePO pour Security Operations - Répertorier les événements de menace
    • Intégration McAfee ePO pour Security Operations - Supprimer l’isolement

    Connexion à des systèmes externes

    L’intégration nécessite que le MID Server communique avec la console via une McAfee ePO connexion au protocole HTTPS.