Integrationsarchitektur für McAfee ePO

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Das folgende Thema bietet einen Überblick über die Systemarchitektur und listet die wichtigsten Funktionen der Integration auf. Dieser Abschnitt enthält auch Informationen zu den Setup-Schritten, die Sie in Ihrer Instanz Now Platform und in der Konsole von McAfee ePolicy Orchestrator (McAfee ePO) ausführen müssen, bevor Sie die Anwendung aus dem ServiceNow Storeinstallieren.

    Wichtige Begriffe für die McAfee ePO -Integration

    Die folgenden Begriffe werden in der gesamten Installations- und Konfigurationsdokumentation für die -Integration verwendet.

    Now Platform
    Ein Unternehmensprodukt ServiceNow. Now Platform ist die Basis, auf der einzelne Komponenten wie Security Incident Response (SIR), IT Service Management (ITSM) und andere Produkte basieren.
    Security Incident Response (SIR)
    Eine Now Platform Anwendung, die den Fortschritt von Security Incidents von der Erkennung und der ersten Analyse über die Eindämmung, Beseitigung und Wiederherstellung bis hin zur endgültigen Überprüfung und dem Abschluss nach Incidents nachverfolgt.
    Plugin

    Plugins sind Softwarekomponenten, die bestimmte Features und Funktionalitäten in Ihrer Now Platform -Instanz bereitstellen. Weitere Informationen zur Installation und Konfiguration der Integrations-Plugins finden Sie unter Installieren Sie die Anwendung, und konfigurieren Sie einen Server für die McAfee ePO -Integration.

    ePolicy Orchestrator (McAfee ePO)
    Die Benutzerkonsole, in der Sie die McAfee-Services, -Produkte und -Einstellungen verwalten.
    McAfee-Erweiterungs-Plugin
    Dieses ServiceNow Erweiterungs-Plugin ist für diese Integration erforderlich. Dieses Plugin befindet sich in Ihrer McAfee ePO -Konsole und verbindet Ihre McAfee ePO -Konsole mit Ihrer Now Platform -Instanz.
    Fähigkeit
    Eine automatische Aktivität, die von Ihrer Instanz Now Platform initiiert und in der Konsole McAfee ePO ausgeführt wird, um Ergänzungsabfragen durchzuführen und Aktionen für Ihre Assets auszuführen.
    Profil
    Einstellungen für McAfee ePO -Fähigkeiten, die Sie konfigurieren, um anzugeben, wann und unter welchen Bedingungen Fähigkeiten Ergänzungsabfragen und Aktionen für Ihre Assets ausführen.
    MID-Server verwenden
    Eine Anwendung, die die Kommunikation und die Bewegung von Daten zwischen Now Platform und externen Anwendungen, Datenquellen und Services erleichtert.
    ServiceNow -Administrator (admin)
    Benutzer mit dieser Rolle laden die Plugins SIR und McAfee ePO herunter und installieren sie in Ihrer Instanz Now Platform. Benutzer mit dieser Rolle weisen bei Bedarf auch die Rolle „Security Incident-Administrator“ zu.
    ServiceNow Security Incident-Administrator (sn_si.admin)
    Benutzer mit dieser Rolle führen die Konfiguration der McAfee ePO -Integration mit dem Produkt Security Incident Response (SIR) in Ihrer Instanz von Now Platform nach Bedarf durch. Benutzer mit dieser Rolle weisen bei Bedarf auch die Rolle „Security Incident-Analyst“ zu.
    ServiceNow Security Incident-Analyst (sn_si.analyst)
    Benutzer mit dieser Rolle interagieren mit und analysieren Security Incidents im SIR-Produkt.

    Systemverbindung und Datenfluss

    Die folgende Abbildung zeigt ein Beispiel für eine Kundenumgebung. Ein Now Platform MID-Server ist erforderlich, damit Ihre Now Platform -Instanz über ein ServiceNow -Erweiterungs-Plugin eine Verbindung zu einem McAfee ePO -Server (Konsole) herstellen kann. Nachdem Sie eine Verbindung hergestellt haben, rufen Sie Fähigkeiten von Ihrem Now Platform auf, um Malware-Scans zu initiieren, Hostcomputer zu isolieren und in Ihrem Netzwerk wiederherzustellen, die letzten Scan-Ergebnisse abzurufen und Systemdetails zu Ihren Assets zu erfassen. Wenn diese Fähigkeiten Ergebnisse aus Ihren Assets zurückgeben, die Ihren Suchkriterien entsprechen, werden Daten über den MID Server in Ihre Now Platform -Instanz abgerufen. Daten werden in den zugehörigen Listen eines Now Platform Security Incident Response (SIR) Security Incidents angezeigt. Die folgende Abbildung zeigt den Datenfluss für eine Gruppe von Endpunkten, die von einer McAfee ePO -Konsole verwaltet werden.

    Abbildung : 1. Konfiguration eines einzelnen Endpunkts
    Konfiguration eins.

    Wie in der folgenden Abbildung dargestellt, kann diese Integration mehr als eine McAfee ePO -Konsole unterstützen. Sie können eine Gruppe von Endpunkten von einer McAfee ePO -Konsole und eine andere Gruppe von Endpunkten von einer anderen McAfee ePO -Konsole verwalten lassen. Daten aus mehreren McAfee ePO -Konsolen werden über einen einzelnen MID-Server abgerufen. Sie können jedoch auch mehrere MID-Server konfigurieren, wenn dies für Ihre Organisation erforderlich ist.

    Abbildung : 2. Konfiguration der MID-Server
    Mehrere Konfigurationen.

    Workflows für die McAfee ePO -Integration

    Diese Integration umfasst die folgenden Workflows. Diese Workflows sind vorkonfiguriert und wurden speziell für diese Integration entwickelt. Sie können diese Workflows nach Bedarf bearbeiten, um die Anforderungen Ihrer Organisation zu erfüllen. Weitere allgemeine Informationen zu Workflows und zur Verwendung des Workflow-Editors finden Sie unter Erste Schritte mit Workflows.

    • Security Operations McAfee ePO-Integration – Hostdetails abrufen
    • Security Operations McAfee ePO-Integration – Malware-Scan initiieren
    • Security Operations McAfee ePO-Integration – Host isolieren
    • Security Operations McAfee ePO-Integration – Bedrohungsereignisse auflisten
    • Security Operations McAfee ePO-Integration – Isolierung entfernen

    Verbindung mit externen Systemen

    Die Integration erfordert, dass der MID Server über eine HTTPS-Protokollverbindung mit der McAfee ePO -Konsole kommuniziert.