マルウェアスキャンを開始するためのプロファイルの設定

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:5分

    • [マルウェアスキャンを開始 (Initiate Malware Scan)] 機能と、プロファイルで実行するその他の McAfee ePO 機能を使用してプロファイルを作成した後、定義した特定の条件で呼び出されるようにプロファイルの設定を構成します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    sn_si.admin ロールを持つユーザーは、 ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) のセキュリティインシデントで指定した条件が満たされた場合にのみスキャンがスケジュールされるようにプロファイルを設定します。スキャンをトリガーするセキュリティインシデントの条件を定義します。プロファイルに選択する他の McAfee ePO 機能は、トリガー条件を共有します。構成アイテム (CI) フィールドの代替入力フィールドを選択し、フィルタリング条件を設定するオプションを使用できます。トリガーイベントに関連する SIR セキュリティインシデントのみが自動的にプロファイルを呼び出すように、フィルタリングを設定することができます。

    [ホストを隔離] アクションと同様に、 SIR セキュリティインシデントから直接オンデマンドスキャンを開始できます。スキャンを手動で開始する方法の詳細については、「 セキュリティインシデントからの McAfee ePO プロファイルの手動トリガー」を参照してください。

    手順

    1. [構成] ページが表示されない場合は、進捗状況バーで [構成] をクリックします。
      マルウェアスキャンを開始するための構成フォーム。
      [構成] フォームが表示されます。
    2. フォームに記入します。
      オプション説明
      代替 CI トリガーフィールドを有効にする 代替構成アイテム (CI) トリガーフィールド。デフォルトでは無効になっています。この例では、チェックボックスはオフになっています。

      このチェックボックスをオフにしてオプションを無効にすると、[CI] フィールドに対する代替のフィールドは識別されません。無効にした場合、CI フィールドの値を SIR セキュリティインシデントに入力する必要があり、プロファイルを実行する前にフィールドの値が McAfee ePO コンソールで認識される必要があります。

      このチェックボックスをオンにし、このオプションを有効にすると、[代替 CI トリガーフィールド] 選択リストが表示されます。CI の代替フィールドとして、このリストから任意のフィールドを選択します。

      代替 CI トリガーフィールドの詳細については、「 構成アイテム (CI) フィールドでのトリガー条件の定義機能プロファイルの作成」を参照してください。
      タグを表示 セキュリティインシデントのセキュリティタグ。デフォルトでは無効になっています。

      このチェックボックスをオフにしてタグ付けオプションを無効にすると、セキュリティインシデントにセキュリティタグ名は表示されません。関連するセキュリティインシデントにセキュリティタグを表示しない場合は、このチェックボックスをオフのままにします。

      チェックボックスをオンにしてタグ付けオプションを有効にすると、セキュリティタグ名が構成フォームに表示されます。これらは、関連するセキュリティインシデントに表示されるタグ名です。

      マルウェアスキャンは営業時間外にスケジュールされ、完了するまでに時間がかかる場合があります。タグ付けを有効にすると、セキュリティインシデントの上部に、スキャンがスケジュールされていることを示すセキュリティタグが表示されます。スキャンが正常に完了すると、スケジュール設定済みのタグは、スキャンが正常に完了したことを示すタグに自動的に置き換わります。

      タグ名と色は編集できます。詳細については、「McAfee ePO 統合用の ServiceNow AI Platform のセキュリティタグの編集」を参照してください。
      インシデントに基づく自動トリガー フィルター条件。デフォルトでは無効になっています。

      チェックボックスをオフにしてオプションを無効にすると、プロファイルはマルウェアスキャンを自動的に起動しません。プロファイルは、セキュリティインシデントから手動で起動する必要があります。

      チェックボックスをオンにして自動トリガーオプションを有効にすると、フィルター条件ビルダーがフォームに表示されます。フィルター条件を設定して、インシデントの作成時にプロファイルを自動的に実行するタイミングを指定する必要があります。

      この例では、[ カテゴリ] が [悪意のあるコードアクティビティ] で 、[ ビジネスインパクト] が [1 - 重大] の フィルターが使用されています。フィルター条件ビルダーの詳細については、「 機能プロファイルの作成」を参照してください。
      承認が必要 スキャンを開始する前に承認が必要です。デフォルトでは無効になっています。

      チェックボックスをオフにして承認オプションを無効にすると、sn_si.analyst ロールを持つユーザーは、事前の承認を要求せずにマルウェアスキャンを開始します。

      sn_si.analyst ロールを持つユーザーにマルウェアスキャンを開始する前に承認を要求させる場合は、このチェックボックスをオンにして、このオプションを有効にします。

      この例では、プロファイルに対して承認オプションとタグ付けオプションが有効になっています。[ 代替 CI トリガーを有効にする] フィールド と [ インシデントに基づく自動トリガー ] オプションを構成する方法の詳細については、「 システム拡張クエリのプロファイルとセキュリティインシデントの構成」を参照してください。

    3. オプションを 1 つ選択して続行します。
      オプション説明
      前へ プロファイルを編集する場合は、[名前] ステップに戻ります。
      保存 変更を保存してこのページに留まります。変更を保存するには、画面上部のグレーのバナーを右クリックします。表示されるメニューで、[ 保存] をクリックします。
      続行するか、進捗状況バーで [インシデントのテスト] を選択します インシデントのテストとプレビューのステップに進みます。変更を保存せずにページを離れると、編集内容は保存されません。
      削除 [ McAfee ePO 機能プロファイル] リストからこのプロファイルを削除します。
      インシデントの作成時にマルウェアスキャンが自動的にトリガーされるように、プロファイルが正常に構成されました。代替 CI フィールドは、スキャンからの一致する CI 結果を入力するために使用されます。次のステップでは、このプロファイルのセキュリティインシデントをプレビューしてテストします。