Usando a integração McAfee ePO no espaço do analista

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 1 min. de leitura

    • Use a integração McAfee ePO para aproveitar os recursos McAfee ePO no espaço do analista de SIR.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Antes de usar a integração McAfee ePO no espaço do Security Incident Response, você deve baixá-la do ServiceNow Store e configurá-la. Para obter mais informações, consulte Configure sua instância Now Platform para a integração McAfee ePO.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode usar a integração McAfee ePO para fazer ações de correção nos endpoints em tempo real, usar perfis para coletar detalhes sobre o host e fazer consultas ou ações específicas no endpoint usando o espaço Security Incident Response.

    A integração McAfee ePO permite que os analistas usem os seguintes recursos [ McAfee ePO no espaço do analista Security Incident Response :
    • Obter detalhes do host
    • Isolar Host
    • Remover isolamento
    • Executar ações adicionais no endpoint

    Procedimento

    1. Para abrir o incidente de segurança no espaço de SIR, clique em Alternar para espaço de SIR no incidente de segurança.
    2. No espaço de SIR, selecione a guia Registros relacionados.
    3. Selecione qualquer Item de configuraçãoe escolha um recurso do McAfee ePO para acionar na ação suspensa da lista relacionada.
      Por exemplo, Obter detalhes do host.

      Capacidade do McAfee ePO para acionar a partir da lista relacionada

    4. No pop-up Obter detalhes do host, selecione a implementação do McAfee ePO.
      Obter detalhes do host
    5. Clique em Enviar.
      A funcionalidade Obter detalhes do host é invocada no IC. Você pode exibir as anotações de trabalho dos resultados e descobertas.
    6. Para exibir os dados da capacidade acionada, selecione a guia Investigação.
    7. Selecione o Item de configuraçãoe clique na ação Exibir informações associadas.
      As informações associadas do item de configuração são exibidas. Por exemplo, Detalhes do host.As informações associadas do item de configuração
    8. Clique no Item de configuração para exibir os detalhes do host.
      Da mesma forma, você pode tentar usar o outro recurso do McAfee ePO para seus incidentes de segurança no SIR Analyst Workspace.
    9. Você pode usar os recursos do McAfee ePO na lista relacionada de Detecção e resposta de endpoint (EDR) para análise.
    10. Procure e selecione um perfil na lista de perfis disponíveis.
      A lista de perfis disponíveis é Obter detalhes do host, Isolar máquina host e Remover isolamento. Por exemplo, vamos selecionar Obter detalhes do host.
    11. Selecione a implementação do McAfee ePO e clique em Enviar.