McAfee ePO-Integration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Die McAfee ePOEDR-Fähigkeit (Integration Endpoint Detection and Response), die Analysten des Security Operations Center (SOC) hilft, Cyberbedrohungen zu identifizieren und Schäden zu beheben, die durch schädliche Dateien verursacht wurden.

    Übersicht

    Es gibt zwei Sätze von McAfee ePOIn dieser Integration verwendete Fähigkeiten, die Fähigkeiten, die Aktionen aufrufen, z. B. das Isolieren eines Hosts und das Initiieren eines Malware-Scans, und die Fähigkeiten, die Abfragen ausführen, um Systemdetails und Bedrohungsereignisse zu erfassen. Beide Arten von Fähigkeiten, die Aktionen und die Abfragen, werden von aufgerufen Now Platform®Instanz. Sie können diese Fähigkeiten gruppieren, sodass sie automatisch ausgeführt werden, wenn ein bestimmter Typ von Sicherheitsereignissen auftritt, oder Sie können sie manuell von aufrufen Now Platform®Security Incident.

    Folgendes McAfee ePOFür diese Integration sind Fähigkeiten verfügbar.

    Rufen Sie Systemdetails ab
    Erfassen Sie Systemdetails, die Betriebssystemdetails enthalten.
    Initiieren Sie einen Malware-Scan
    Initiieren Sie basierend auf der Scankonfiguration und -Planung einen Scan eines betroffenen Endpunkts.
    Host isolieren/Isolierung aufheben
    Entfernen Sie ein System für die Untersuchung vom Netzwerkzugriff, und stellen Sie den Zugriff auf das Netzwerk wieder her.
    Listen Sie Bedrohungsereignisse auf
    Erfassen Sie den Compliance-Status und die neuesten Bedrohungsereignisse.

    Schlüsselfunktionen

    Diese Integration enthält die folgenden wichtigen Funktionen.

    • Unterstützt automatisiertes Auslösen von McAfee ePOAbfragen, die auf Incident-Bedingungen basieren.
    • Unterstützt das Starten McAfee ePOFähigkeiten manuell von Now Platform® Security Incident Response( SIR) Security Incidents, die Aktionen bei Bedarf ausführen.
    • Die Flexibilität, mehrere Profile zum Auslösen verschiedener Typen von zu erstellen McAfee ePOUnd Now Platform® Security OperationsFähigkeiten. Diese Profile erfassen Bedrohungsereignisinformationen oder führen Aktionen basierend auf den Bedingungen bestimmter Incident-Kategorien wie Malware aus.
    • Validieren Sie Ihre Profilkonfiguration mit einer Vorschau von McAfee ePOErgebnisse für SIRSecurity Incidents.
    • Wenn Tagging aktiviert ist, identifizieren Sicherheits-Tags welche McAfee ePOFähigkeiten werden anfänglich von einem Workflow gestartet und wenn die Abfragen oder Aktionen erfolgreich abgeschlossen wurden.
    • Ein vollständiger Audit-Pfad von McAfee ePOAbfragen und Aktionen werden in den Arbeitsnotizen auf veröffentlicht SIRSecurity Incidents und Befehle von Now Platform®Sind in angemeldet McAfee ePOKonsole.
    • Unterstützt mehrere McAfee ePOKonsolen.

    ServiceNow Plugins

    Das Plugin „com.snc.si_dep“ ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsAnwendungen.

    Folgendes Security OperationsAnwendungen müssen über installiert und aktiviert werden ServiceNow Store. Installieren und aktivieren Sie dann jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen:
    1. Sicherheitsintegrations-Framework
    2. Allgemeiner Sicherheitssupport
    3. Orchestration Des Sicherheitssupports
    4. Security Incident Response
    5. Arbeitsbereich für Security Incident Response

    Weitere Informationen zum Einrichten von finden Sie Now PlatformInstanz für die Integration siehe Richten Sie Ihr ein Now PlatformInstanz für McAfee ePOIntegration.

    Die ServiceNowErweiterungs-Plugin

    Die ServiceNow – Erweiterung für Sicherheitsvorgänge für McAfee ePO ℠Das Erweiterungs-Plugin ist für diese Integration erforderlich. Installieren Sie dies ServiceNowPlugin in McAfee ePOKonsole. Weitere Informationen finden Sie unter Richten Sie Ihr ein Now PlatformInstanz für McAfee ePOIntegration.

    MID-Server

    Diese Integration erfordert einen installierten und konfigurierten MID-Server in Ihrem Now Platform®Instanz, die mit verbunden werden soll McAfee ePOServer (Konsole). Siehe ServiceNow-Produktdokumentationswebsite Für weitere Informationen zu MID-Servern.

    Unterstützte Versionen von McAfee

    Die Integration unterstützt Version 5.9.1 und 5,10 von McAfee ePO. Unterstützt McAfee-Mitarbeiter: MA 5.5.1.388 weitere Informationen zu McAfee-Produkten und dem ePolicy-Orchestrator finden Sie unter McAfee-Produkt-Website .

    Die Integration unterstützt die Version 10,5 des McAfee Endpoint Security Threat Prevention-Produkts. Wenn Sie Version 10.5 nicht ausführen, wenden Sie sich an Ihren McAfee ePOAdministrator, um zu sehen, ob Ihre Version Scans bei Bedarf über Tag-Aktionen unterstützen kann.

    McAfee ePO Sicherheits-Tags werden in dieser Integration verwendet. Sie müssen diese Tags in erstellen McAfee ePOKonsole. Weitere Informationen zu diesen Tags finden Sie unter Richten Sie Ihr ein McAfee ePOKonsole, in die integriert werden soll Security Incident Response( SIR).

    Referenzen

    Referenz Dokumentbezeichner Dokumententitel
    1

    McAfee-Produkt-Website

    		 McAfee-Produkt-Website
    2

    McAfee-Geschäftsproduktdokumentation für ePolicy Orchestrator Cloud

    		 McAfee-Produktdokumentation
    3

    ServiceNow Produktdokumentations-Website

    		 ServiceNow-Produktdokumentationswebsite

    Eine Prüfliste zum Nachverfolgen Ihres Fortschritts beim Einrichten, Installieren und Überprüfen der Ergebnisse für die Integration finden Sie unter Prüfliste für McAfee ePOIntegration.

    Um eine reibungslose Installation der Anwendung zu gewährleisten und die erwarteten Ergebnisse zu verifizieren, befolgen Sie die Themen in der Reihenfolge, in der sie angezeigt werden.