Verwenden der McAfee ePO -Integration in Analyst Workspace

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Integration von McAfee ePO, um die Fähigkeiten von McAfee ePO im SIR-Analystenarbeitsbereich zu nutzen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Bevor Sie die McAfee ePO -Integration im Security Incident Response-Arbeitsbereich verwenden, müssen Sie sie aus dem ServiceNow Store herunterladen und konfigurieren. Weitere Informationen finden Sie unter Richten Sie Ihre Now Platform -Instanz für die McAfee ePO -Integration ein.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können die McAfee ePO -Integration verwenden, um Korrekturaktionen für die Endpunkte in Echtzeit durchzuführen, Profile zum Sammeln von Details zum Host zu verwenden und im Arbeitsbereich Security Incident Response bestimmte Abfragen oder Aktionen für den Endpunkt durchzuführen.

    Die McAfee ePO -Integration ermöglicht Analysten die Verwendung der folgenden McAfee ePO -Fähigkeiten im Analyst Workspace Security Incident Response :
    • Hostdetails abrufen
    • Host isolieren
    • Isolation entfernen
    • Zusätzliche Aktion(en) für Endpunkt ausführen

    Prozedur

    1. Um den Security Incident im SIR-Arbeitsbereich zu öffnen, klicken Sie im Security Incident auf Zu SIR-Arbeitsbereich wechseln.
    2. Wählen Sie im SIR-Arbeitsbereich die Registerkarte Zugehörige Datensätze aus.
    3. Wählen Sie ein beliebiges Konfigurationselementaus, und wählen Sie in der Dropdown-Aktion der zugehörigen Liste eine McAfee ePO-Fähigkeit aus, die ausgelöst werden soll.
      Beispiel: Hostdetails abrufen.

      McAfee ePO-Fähigkeit zur Auslösung über die zugehörige Liste

    4. Wählen Sie im Popup-Fenster „Hostdetails abrufen“ die McAfee ePO -Implementierung aus.
      Ruft Hostdetails ab
    5. Klicken Sie auf Absenden.
      Die Fähigkeit „Hostdetails abrufen“ wird für das CI aufgerufen. Sie können die Arbeitsnotizen für die Ergebnisse und Ergebnisse anzeigen.
    6. Um die Daten für die ausgelöste Fähigkeit anzuzeigen, wählen Sie die Registerkarte Untersuchung aus.
    7. Wählen Sie das Konfigurationselementaus, und klicken Sie auf die Aktion Zugehörige Informationen anzeigen.
      Die zugehörigen Informationen des Konfigurationselements werden angezeigt. Beispiel: Hostdetails.Zugeordnete Informationen des Konfigurationselements
    8. Klicken Sie auf das Konfigurationselement, um die Hostdetails anzuzeigen.
      Ebenso können Sie versuchen, die anderen McAfee ePO-Fähigkeiten für Ihre Security Incidents im SIR-Analystenarbeitsbereich zu verwenden.
    9. Sie können die McAfee ePO-Fähigkeiten in der zugehörigen Liste Endpoint Detection and Response (EDR) für Analysen verwenden.
    10. Suchen Sie ein Profil und wählen Sie es aus der Liste der verfügbaren Profile aus.
      Die Liste der verfügbaren Profile lautet „Hostdetails abrufen“, „Hostcomputer isolieren“ und „Isolierung entfernen“. Wählen Sie beispielsweise Hostdetails abrufen aus.
    11. Wählen Sie die McAfee ePO- Implementierung aus, und klicken Sie auf Absenden.