McAfee ePO の統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む5読むのに数分

    • McAfee ePO 統合 Endpoint Detection and Response (EDR) 機能は、Security Operations Center (SOC) のアナリストが、サイバー脅威を特定し、悪意のあるファイルによる損害を修復する際に役立ちます。

    概要

    この統合で使用される McAfee ePO 機能のセットは 2 つあります。ホストの隔離やマルウェアスキャンの開始などのアクションを呼び出す機能と、クエリを実行してシステムの詳細や脅威イベントを収集する機能です。アクションとクエリのいずれのタイプの機能も、Now Platform® インスタンスから呼び出されます。これらの機能をグループ化して特定のタイプのセキュリティイベントが発生したときに自動的に実行されるようにすることも、Now Platform® セキュリティインシデントから手動で機能を呼び出すこともできます。

    この統合では、次の McAfee ePO 機能を使用できます。

    システムの詳細を取得
    オペレーティングシステムの詳細を含むシステムの詳細を収集します。
    マルウェアスキャンを開始 (Initiate Malware Scan)
    スキャン設定とスケジュールに基づいて、影響を受けるエンドポイントのスキャンを開始します。
    ホストを隔離/ホストの隔離を解除
    調査対象のネットワークアクセスからシステムを削除し、ネットワークへのアクセスを復元します。
    脅威イベントのリスト表示 (List Threat Events)
    コンプライアンスのステータスと最新の脅威イベントを収集します。

    主な機能

    この統合の主な機能は次のとおりです。

    • インシデント条件に基づく McAfee ePO クエリの自動トリガーをサポートします。
    • オンデマンドアクションを実行する Now Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントからの、手動での McAfee ePO 機能の起動をサポートします。
    • さまざまなタイプの McAfee ePO および Now Platform® Security Operations 機能をトリガーするための複数のプロファイルを柔軟に作成できます。作成したプロファイルによって、マルウェアなど特定のインシデントカテゴリの条件に基づいて、脅威イベント情報が収集されたりアクションが実行されたりします。
    • SIR セキュリティインシデントに関する McAfee ePO の結果のプレビューを使用して、プロファイル構成を検証します。
    • タグ付けが有効になっている場合、セキュリティタグは、ワークフローによって最初に起動される McAfee ePO 機能と、クエリまたはアクションがいつ正常に完了したかを識別します。
    • McAfee ePO のクエリとアクションの完全な監査記録が SIR のセキュリティインシデントに関する作業メモに投稿され、Now Platform® から実行されたコマンドが McAfee ePO コンソールに記録されます。
    • 複数の McAfee ePO コンソールをサポートします。

    ServiceNow のプラグイン

    com.snc.si_dep プラグインが必要です。このプラグインは、セキュリティインシデントレスポンス 製品をサポートするために必要なすべての依存関係を自動的にインストールします。他の Security Operations アプリケーションをインストールしてアクティブ化する前に、このプラグインをインストールしてアクティブ化します。

    次の Security Operations アプリケーションを、ServiceNow Store からインストールしてアクティブ化する必要があります。スムーズにインストールできるように、アプリケーションを次のリストの順番で、一度に 1 つずつインストールしてアクティブ化します。
    1. Security Integration Framework
    2. Security Support Common
    3. Security Support Orchestration
    4. Security Incident Response
    5. Security Incident Response Workspace

    統合のための Now Platform インスタンスのセットアップの詳細については、「McAfee ePO 統合での Now Platform インスタンスの設定」を参照してください。

    ServiceNow 拡張プラグイン

    この統合には ServiceNow Security Operations Extension for McAfee ePO℠ 拡張プラグインが必要です。この ServiceNow プラグインを McAfee ePO コンソールにインストールします。詳細については、「McAfee ePO 統合での Now Platform インスタンスの設定」を参照してください。

    MID Server

    この統合では、McAfee ePO サーバー (コンソール) に接続するため、Now Platform® インスタンスに MID Server をインストールして構成する必要があります。MID Server の詳細については、ServiceNow 製品ドキュメント Web サイトを参照してください。

    サポートされている McAfee のバージョン

    この統合は、McAfee ePO のバージョン 5.9.1 および 5.10 をサポートしています。McAfee Agent 5.5.1.388 をサポートしています。 McAfee 製品と ePolicy Orchestrator の詳細については、McAfee 製品の Web サイトを参照してください。

    この統合は、McAfee Endpoint Security Threat Prevention 製品のバージョン 10.5 をサポートしています。バージョン 10.5 が動作していない場合は、McAfee ePO 管理者に問い合わせて、お使いのバージョンがタグアクションを介したオンデマンドスキャンをサポートできるかどうかを確認してください。

    この統合では McAfee ePO セキュリティタグを使用します。セキュリティタグは McAfee ePO コンソールで作成する必要があります。セキュリティタグの詳細については、「McAfee ePO コンソールを セキュリティインシデントレスポンス (SIR) と統合するように設定する」を参照してください。

    参照

    参照 ドキュメント識別子 ドキュメントタイトル
    1

    McAfee 製品の Web サイト

    		 McAfee 製品の Web サイト
    2

    ePolicy Orchestrator Cloud の McAfee ビジネス製品ドキュメント

    		 McAfee 製品ドキュメント
    3

    ServiceNow 製品ドキュメント Web サイト

    		 ServiceNow 製品ドキュメント Web サイト

    統合のセットアップ、インストール、および結果の検証の進行状況を追跡するためのチェックリストについては、「McAfee ePO 統合のチェックリスト」を参照してください。

    アプリケーションをスムーズにインストールし、想定通りの結果が得られるように、記載されている順序でトピックに従ってください。