統合のセットアップの一環として、ServiceNow AI Platform インスタンスの McAfee ePO コンソールで作成したセキュリティタグ名を編集します。ServiceNow AI Platform インスタンスのタグ名は、McAfee ePO コンソールのタグ名と一致するように編集します。
このタスクについて
McAfee ePO コンソールでのマルウェアスキャンの開始およびホスト隔離のアクションのセキュリティタグ名は、ServiceNow AI Platform インスタンスでのこれらの機能のレコード内のセキュリティタグ名と一致する必要があります。
機能を実行する機能プロファイルを作成する前に、利用可能な McAfee ePO 機能のリストを表示し、McAfee ePO コンソールのセキュリティタグ名と一致するように ServiceNow AI Platform インスタンスのセキュリティタグを編集します。McAfee ePO コンソールでのセキュリティタグ名の作成の詳細については、「McAfee ePO コンソールを セキュリティインシデントレスポンス (SIR) と統合するように設定する」を参照してください。
手順
-
移動先 .
-
McAfee ePO 統合のセキュリティタグ名を編集するには、[デフォルト構成] をクリックします。
注: McAfee ePO 統合をインストールした後で、この構成を必ず実行してください。
-
McAfee ePO コンソールでスキャンの開始アクション用に作成したセキュリティタグの名前を [マルウェアスキャン開始のタグ名 (Initiate Malware Scan Tag Name)] フィールドに入力します。
たとえば「ServiceNow - Malware Scan」などです。
-
McAfee ePO コンソールでホスト隔離アクション用に作成したセキュリティタグの名前を [ホストタグ名を隔離 (Isolate Host Tag Name)] フィールドに入力します。
たとえば「ServiceNow - Isolate Host」などです。
-
インシデントの作成時に CI トリガーフィールドを使用しない場合は、[代替フィールドを定義] チェックボックスをオンにします。
このオプションを有効にすると、[代替 CI トリガー] フィールド選択リストが表示されます。
図 : 1. セキュリティタグの編集
-
選択リストから代替フィールドを選択して、CI 検索条件を確認します。
この例では、sn_si.admin ロールを持つユーザーは、インシデントの作成時にセキュリティインシデントで [CI] フィールドに値が入力されないと考えています。一方、FQDN、ホスト名、または IP アドレスの CI 情報がセキュリティインシデントの [識別された CI] フィールドに入力されると考えているため、[CI] フィールドの代わりに [識別された CI] フィールドを選択します。この例では [識別された CI] を選択しますが、セキュリティインシデントのフィールドであればどれでも代替 CI として使用できます。
-
[ドメイン] フィールドで、検索オプションを使用してこの構成のドメインまたはグループを選択します。
たとえば、 global です。
-
[ホストを隔離] および [隔離を削除] 機能を使用している場合は、[承認が必要] フィールドで [承認が必要] チェックボックスをオンにします。
注: [マルウェアスキャンを開始 (Initiate Malware Scan)]、[脅威イベントのリスト表示 (List Threat Events)]、および [システムの詳細を取得] 機能には承認は必要ありません。
-
[更新] をクリックします。
EPO タグ名が更新され、[McAfee ePO デフォルト構成 (McAfee ePO Default Configurations)] リストに表示されます。
ServiceNow AI Platform インスタンスでのマルウェアスキャンのアクションのセキュリティタグ名が、
McAfee ePO コンソールでのスキャンに対する名前と一致しています。
ServiceNow AI Platform インスタンスのマルウェアスキャンおよびホスト分離の機能の EPO タグ名を正常に編集しました。次のステップでは、機能のプロファイルを作成します。