Utilisation de l’intégration McAfee ePO dans Analyst Workspace

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Utilisez l’intégration McAfee ePO pour tirer parti des McAfee ePO options de l’espace de travail d’analyste SIR.

    Avant de commencer

    Rôle requis : sn_si.admin

    Avant d’utiliser McAfee ePO l’intégration dans l’espace de travail Réponse aux incidents de sécurité, vous devez la ServiceNow Store télécharger et la configurer. Pour plus d'informations, consultez Configurer votre Now Platform instance pour l’intégration McAfee ePO.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser l’intégration McAfee ePO pour effectuer des actions de rattrapage sur les points de terminaison en temps réel, utiliser des profils pour recueillir des détails sur l’hôte et effectuer des requêtes ou des actions spécifiques sur le point de terminaison à l’aide de l’espace Réponse aux incidents de sécurité de travail.

    L’intégration McAfee ePO permet aux analystes d’utiliser les options suivantes McAfee ePO dans l’espace de Réponse aux incidents de sécurité travail Analyst :
    • Obtenir les détails de l'hôte
    • Isoler l’hôte
    • Supprimer l'isolement
    • Exécuter une ou plusieurs actions supplémentaires sur le point de terminaison

    Procédure

    1. Pour ouvrir l’incident de sécurité dans l’espace de travail SIR, cliquez sur Basculer vers l’espace de travail SIR sur l’incident de sécurité.
    2. Dans l’espace de travail SIR, sélectionnez l’onglet Enregistrements connexes .
    3. Sélectionnez n’importe quel élément de configuration, puis choisissez une aptitude McAfee ePO à déclencher à partir de l’action déroulante de liste connexe.
      Par exemple, Obtenir les détails de l’hôte.

      Aptitude de McAfee ePO à déclencher à partir de la liste connexe

    4. Dans la fenêtre contextuelle Obtenir les détails de l’hôte, sélectionnez l’implémentation de McAfee ePO .
      Obtenir les détails de l’hôte
    5. Cliquez sur Envoyer.
      L’aptitude Obtenir les détails de l’hôte est invoquée sur le CI. Vous pouvez afficher les notes de travail pour les résultats et les conclusions.
    6. Pour afficher les données de l’aptitude déclenchée, sélectionnez l’onglet Examiner .
    7. Sélectionnez l’élément de configuration, puis cliquez sur l’action Afficher les informations associées .
      Les informations associées de l’élément de configuration s’affichent. Par exemple, Détails de l’hôte.Les informations associées de l’élément de configuration
    8. Cliquez sur l’élément de configuration pour afficher les détails de l’hôte.
      De même, vous pouvez essayer d’utiliser l’autre fonctionnalité de McAfee ePO pour vos incidents de sécurité sur l’espace de travail de l’analyste SIR.
    9. Vous pouvez utiliser les fonctionnalités de McAfee ePO figurant sur la liste connexe Endpoint Detection and Reponse (EDR) pour l’analyse.
    10. Parcourez et sélectionnez un profil dans la liste des profils disponibles.
      La liste des profils disponibles est Obtenir les détails de l’hôte, Isoler l’ordinateur de l’hôte et Supprimer l’isolement. Par exemple, sélectionnons Obtenir les détails de l’hôte.
    11. Sélectionnez l’implémentation de McAfee ePO , puis cliquez sur Envoyer.