Une fois que vous avez créé un profil et sélectionné les McAfee ePO options que vous souhaitez que le profil exécute, vous configurez les paramètres du profil afin qu’il ne s’exécute que lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir ces conditions de déclenchement afin que le profil s’exécute automatiquement en fonction des valeurs de champ par défaut qui correspondent à un Now Platform® Réponse aux incidents de sécurité incident de sécurité. Vous pouvez également configurer un profil afin qu’il recherche des correspondances sur des valeurs de champ que vous identifiez spécifiquement sur l’incident de sécurité.

L’une des clés de la fonctionnalité de l’intégration et du fonctionnement d’un profil est le champ Élément de configuration (CI) de l’incident Now Platform® Réponse aux incidents de sécurité de sécurité (SIR). La valeur de ce champ est la valeur principale d’un incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans la Now Platform® base de données. Lorsqu’un SIR incident de sécurité est créé par un événement de sécurité et qu’un profil est activé, vos actifs sont analysés à la recherche d’une valeur correspondante pour un nom de domaine complet (FQDN), un nom d’hôte ou une adresse IP en fonction de la valeur du champ Élément de configuration.

Dans l’idéal, une valeur correspondante est trouvée dans la base de données et les données peuvent être collectées à partir de la McAfee ePO console pour l’actif correspondant, extraites dans votre Now Platform® instance et affichées sur les listes connexes d’un incident de sécurité. La figure suivante est un exemple de champ Élément de configuration renseigné avec un nom d’hôte sur un SIR incident de sécurité.

Si le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité, ou si une correspondance pour un nom de domaine complet, un nom d’hôte ou une adresse IP correspondant à la base de données est introuvable, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données d’enrichissement de CI correspondantes trouvées lors de l’analyse de vos actifs.

Au cours de l’étape de configuration de la configuration du profil, vous pouvez sélectionner un autre champ de déclenchement CI pour l’identification du point de terminaison afin de vous assurer que les données d’enrichissement de CI issues de la McAfee ePO recherche sont renseignées sur l’incident de sécurité associé. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant ce champ CI alternatif comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné pour l’incident de sécurité associé lors de la création de l’incident.

Par exemple, en tant qu’analyste du centre des opérations de sécurité (SOC), vous créez un champ personnalisé pour un incident de sécurité appelé « Adresse IP » dans mon incident de sécurité. Si vous pensez que la valeur de ce champ personnalisé ne s’affichera pas dans le champ Élément de configuration de l’incident de sécurité lors de la création de l’incident, vous pouvez configurer le profil afin qu’il recherche cette adresse IP. En cas de correspondance, l’adresse IP est affichée sur l’incident de sécurité dans le champ de votre choix. Dans la figure suivante, le champ CI identifié est sélectionné comme champ alternatif pour l’adresse IP pour cet exemple.

La figure suivante illustre comment la première recherche du workflow recherche des correspondances pour les éléments de configuration. Si le champ de déclenchement CI alternatif est activé, la deuxième recherche recherche les correspondances de valeurs alternatives.

Si les ID correspondants ne sont pas trouvés pour le champ CI ou l’autre champ CI, une note de travail est enregistrée et un message s’affiche sur l’incident de sécurité. Lorsqu’aucune correspondance n’est trouvée, aucune donnée d’enrichissement n’est renseignée sur les incidents de sécurité liés à l’événement.

Vous activez l’autre champ de déclenchement de CI et sélectionnez le champ dans lequel vous souhaitez afficher l’ID correspondant pendant l’étape de configuration d’un profil. Cette étape d’activation de l’autre champ CI est décrite ainsi que les autres exigences de configuration de profil de la section Configuration des profils pour l’intégration McAfee ePO.