Acionar o perfil McAfee ePO manualmente a partir de um incidente de segurança

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Acione um perfil de capacidade manualmente a partir de um incidente de segurança Now Platform Security Incident Response (SIR).

    Antes de Iniciar

    Função necessária: sn_si.admin

    Nota:
    A opção de aprovações em Configurando perfis para a integração McAfee ePO aparece somente para as capacidades Isolar host e Remover isolamento de host.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode invocar uma solicitação para obter detalhes do host, isolar a máquina do host ou remover o isolamento de uma máquina automaticamente se as condições de acionamento especificadas no perfil corresponderem às condições nos incidentes de segurança. Como alternativa, se você quiser enviar uma solicitação manualmente, envie-a diretamente de um incidente de segurança.

    Depois de ativar o perfil, com base nas condições do gatilho configuradas, você pode exibir os resultados da consulta nos Now Platform incidentes de segurança. McAfee ePO integrações também permitem que você execute capacidades individuais em itens de configuração (ICs) sem usar um perfil.

    Procedimento

    1. Navegar até Todos > Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar com as informações McAfee ePO.
    3. Na seção de listas relacionadas, selecione Executar perfil(is) de EDR.
      Figura 1. Executar perfil de EDR da McAfee
      Acionar um perfil manualmente a partir de um incidente de segurança
    4. Navegue e selecione um perfil na lista de perfis disponíveis.
      A lista de perfis disponíveis é Obter detalhes do host, Isolar máquina host e Remover isolamento. Por exemplo, vamos selecionar Obter detalhes do host.
    5. Selecione Incluir IC relacionado para executar este perfil em todos os ICs relacionados do perfil.
      Por exemplo, se houver cinco ICs associados ao incidente de segurança, o perfil selecionado será executado em todos os cinco ICs.
    6. Clique em Enviar.
      O perfil selecionado é acionado manualmente. Você pode revisar a seção de anotações de trabalho e atividades e os marcadores iniciados e concluídos pelo perfil na seção de anotações de trabalho.
      Figura 2. Anotações de trabalho para atividade de automação
      Registro em log das anotações de trabalho quando as tarefas de capacidade são iniciadas e concluídas com sucesso
      Os resultados aparecem na forma de listas relacionadas, como Obter detalhes do host, Isolar máquina host ou Remover isolamento.
      Nota:
      Todas as tabelas de lista relacionada estendem as tabelas base. Neste exemplo, os Detalhes do sistema EPO da McAfee são uma tabela estendida da tabela base de Detalhes do host.
      Figura 3. Listas relacionadas da McAfee
      Revise a lista relacionada para obter detalhes adicionais.
    7. Para executar capacidades individuais em um item de configuração (IC), execute as seguintes etapas:
      1. Na lista relacionada Itens de configuração, selecione o IC necessário.
      2. Clique na lista suspensa Ações em linhas selecionadas... e selecione a capacidade necessária que você deseja executar para o IC selecionado.
        Por exemplo, Isolar host.
      3. Clique em Isolar host para executá-lo no IC selecionado.
        O IC selecionado é isolado da rede.