McAfee ePO の統合アーキテクチャ

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • 次のトピックでは、システムアーキテクチャの概要と統合の主な機能について説明します。また、ServiceNow Storeからアプリケーションをインストールする前に Now Platform インスタンスと McAfee ePolicy Orchestrator (McAfee ePO) コンソールで完了する必要があるセットアップ手順についても説明します。

    McAfee ePO の統合に関する主な用語

    次の用語は、統合のインストールと構成に関するドキュメント全体で使用されます。

    Now Platform
    エンタープライズ ServiceNow 製品。Now Platform をベースとして、セキュリティインシデントレスポンス (SIR)、IT Service Management (ITSM)、その他の製品といった、個々のコンポーネントがビルドされています。
    セキュリティインシデントレスポンス (SIR)
    検出と初期分析から、封じ込め、根絶、復旧、および最終的なインシデントの事後レビューとクローズに至るまで、セキュリティインシデントの進捗状況を追跡する Now Platform アプリケーション。
    プラグイン

    プラグインは、Now Platform インスタンス内で特定の機能を提供するソフトウェアコンポーネントです。統合プラグインのインストールと構成の詳細については、「McAfee ePO 統合用のアプリケーションのインストールとサーバーの構成」を参照してください。

    ePolicy Orchestrator (McAfee ePO)
    McAfee のサービス、製品、および設定を管理するユーザーコンソール。
    McAfee 拡張プラグイン
    この統合には ServiceNow 拡張プラグインが必要です。このプラグインは McAfee ePO コンソールにあり、McAfee ePO コンソールを Now Platform インスタンスに接続します。
    機能
    Now Platform インスタンスから開始されて McAfee ePO コンソールで実行される自動アクティビティで、拡張クエリを実行し、資産に対するアクションを実行します。
    プロファイル
    いつ、どのような条件で拡張クエリを実行し、資産に対してアクションを実行するかを指定するために構成する、McAfee ePO の機能の設定。
    MID サーバー
    Now Platform と外部アプリケーション、データソース、サービスの間の通信やデータの移動を支援するアプリケーション。
    ServiceNow アドミン (admin)
    SIR および McAfee ePO プラグインを Now Platform インスタンスにダウンロードしてインストールするユーザーのロール。このロールを持つユーザーは、必要に応じてSecurity Incident Management者ロールのアサインも行います。
    ServiceNow セキュリティインシデントアドミン (sn_si.admin)
    このロールを持つユーザーは、必要に応じて、Now Platform インスタンス内での セキュリティインシデントレスポンス (SIR) 製品との McAfee ePO 統合の設定を行います。このロールを持つユーザーは、必要に応じてセキュリティインシデントアナリストロールのアサインも行います。
    ServiceNow セキュリティインシデントアナリスト (sn_si.analyst)
    このロールを持つユーザーは、SIR 製品で発生したセキュリティインシデントに対応して分析します。

    システムの接続とデータフロー

    次の図は顧客の環境の例です。Now Platform インスタンスが ServiceNow 拡張プラグインを介して McAfee ePO サーバー (コンソール) に接続するには、Now Platform MID サーバーが必要です。接続後、Now Platform から機能を呼び出してマルウェアスキャンを開始し、ホストマシンを隔離してネットワークに戻し、前回のスキャン結果を取得して、資産のシステムの詳細を収集します。呼び出した機能によって資産の中で検索条件に一致する結果が返されると、MID サーバーを介してデータが Now Platform インスタンスにプルされます。データは Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントの関連リストに表示されます。次の図で、1 つのエンドポイントグループを 1 台の McAfee ePO コンソールで管理した場合のデータフローを示します。

    図 : 1. 単一エンドポイントの構成
    1 台構成。

    次の図に示すように、この統合では複数の McAfee ePO コンソールをサポートできます。あるエンドポイントのグループを 1 台の McAfee ePO コンソールで管理し、別のエンドポイントのグループを別の McAfee ePO コンソールで管理することができます。複数の McAfee ePO コンソールからのデータは、単一の MID サーバーを介してプルされます。ただし、組織の必要に応じて、複数の MID サーバーを構成することもできます。

    図 : 2. 複数の MID サーバーの構成
    複数構成。

    McAfee ePO の統合のためのワークフロー

    この統合には、次のワークフローが含まれます。これらのワークフローは、この統合用に特別に事前設定および設計されたものです。必要に応じて、組織のニーズに合わせてワークフローを編集してもかまいません。ワークフローとワークフローエディターの使用に関する一般的な情報については、「ワークフローの概要」を参照してください。

    • Security Operations McAfee EPO 統合 - ホストの詳細を取得
    • Security Operations McAfee EPO 統合 - マルウェアスキャンを開始 (Initiate Malware Scan)
    • Security Operations McAfee EPO 統合 - ホストを隔離
    • Security Operations McAfee EPO 統合 - 脅威イベントのリスト表示 (List Threat Events)
    • Security Operations McAfee EPO 統合 - 隔離を削除

    外部システム接続

    統合では、MID サーバーが HTTPS プロトコル接続を介して McAfee ePO コンソールと通信する必要があります。