マルウェアスキャンを開始するプロファイルの構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:5分

    • [マルウェアスキャンを開始 (Initiate Malware Scan)] 機能やプロファイルを実行したい他の McAfee ePO 機能を使用してプロファイルを作成したら、自分が定義した特定の条件でのみそのプロファイルが呼び出されるようにプロファイルの設定を構成します。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    sn_si.admin ロールを持つユーザーとして、指定した条件が ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) のセキュリティインシデントで満たされた場合にのみスキャンをスケジュールするように、プロファイルを設定します。スキャンをトリガーするセキュリティインシデントの条件を定義します。プロファイルに対して選択した他の McAfee ePO 機能は、設定したトリガー条件を共有します。[構成アイテム (CI)] フィールドの代替入力フィールドを選択してフィルター条件を設定するオプションが利用可能です。トリガーイベントに関連する SIR セキュリティインシデントのみが自動的にプロファイルを呼び出すようにフィルターを設定してもかまいません。

    ホストの隔離アクションと同様に、SIR セキュリティインシデントから直接オンデマンドスキャンを開始できます。手動でのスキャンの起動の詳細については、「セキュリティインシデントからの McAfee ePO プロファイルの手動トリガー」を参照してください。

    手順

    1. [構成] ページが表示されない場合は、進捗状況バーで [構成] をクリックします。
      マルウェアスキャンを開始するための構成フォーム。
      [構成] フォームが表示されます。
    2. フォームに記入します。
      オプション説明
      代替 CI トリガーフィールドを有効にする 代替構成アイテム (CI) トリガーフィールド。デフォルトでは無効になっています。この例では、チェックボックスはオフになっています。

      このチェックボックスをオフにしてオプションを無効にすると、[CI] フィールドに対する代替のフィールドは識別されません。無効な場合は、SIR セキュリティインシデントで [CI] フィールドの値を入力する必要があります。このフィールドの値が McAfee ePO コンソールで認識されないと、プロファイルが実行されません。

      このチェックボックスをオンにしてオプションを有効にすると、 [代替 CI トリガー] フィールド選択リストが表示されます。このリストから、任意のフィールドを CI の代替フィールドとして選択します。

      代替 CI トリガーフィールドの詳細については、「構成アイテム (CI) フィールドを使用したトリガー条件の定義」と「機能プロファイルの作成」を参照してください。
      タグを表示 セキュリティタグをセキュリティインシデントに表示します。デフォルトでは無効になっています。

      このチェックボックスをオフにしてタグ付けオプションを無効にすると、セキュリティインシデントにセキュリティタグ名が表示されません。関連するセキュリティインシデントにセキュリティタグを表示しない場合は、このチェックボックスをオフのままにします。

      チェックボックスをオンにしてタグ付けオプションを有効にすると、構成フォームにセキュリティタグ名が表示されます。表示される名前は、関連するセキュリティインシデントに表示されるタグ名です。

      マルウェアスキャンが営業時間外にスケジュールされていて、完了までに時間がかかる場合があります。タグ付けが有効な場合は、セキュリティインシデントの上部に、スキャンがスケジュールされていることを示すセキュリティタグが表示されます。スキャンが正常に完了すると、スケジュール設定済みのタグが、スキャンが正常に完了したことを示すタグに自動的に置き換わります。

      タグ名と色を編集できます。詳細については、「McAfee ePO 統合用の ServiceNow AI Platform のセキュリティタグの編集」を参照してください。
      インシデントに基づく自動トリガー フィルター条件。デフォルトでは無効になっています。

      チェックボックスをオフにしてオプションを無効にすると、プロファイルによって自動的にマルウェアスキャンが開始されません。セキュリティインシデントから手動でプロファイルを起動する必要があります。

      チェックボックスをオンにし、自動トリガーオプションを有効にすると、フィルター条件ビルダーがフォームに表示されます。フィルター条件を設定して、インシデントの作成時にプロファイルを自動的に実行するタイミングを指定する必要があります。

      この例では、[カテゴリ] が [悪意のあるコードアクティビティ] で [ビジネスへの影響度] [次の値に等しい (is)] [1-重大] のフィルターが使用されています。フィルター条件ビルダーの詳細については、「機能プロファイルの作成」を参照してください。
      承認が必要 スキャンを開始する前に承認を要求します。デフォルトでは無効になっています。

      チェックボックスをオフにして承認オプションを無効にすると、sn_si.analyst ロールを持つユーザーが、事前の承認を要求せずにマルウェアスキャンを開始します。

      sn_si.analyst ロールを持つユーザーにマルウェアスキャンを開始する前の承認を要求させたい場合は、このチェックボックスをオンにしてオプションを有効にします。

      この例では、プロファイルに対して承認オプションとタグ付けオプションが有効になっています。[代替 CI トリガーフィールドを有効にする][インシデントに基づく自動トリガー] のオプションの設定方法の詳細については、「システム拡張クエリのプロファイルとセキュリティインシデントの構成」を参照してください。

    3. オプションを 1 つ選択して続行します。
      オプション説明
      前へ プロファイルを編集する場合は、[名前] のステップに戻ります。
      保存 変更を保存してこのページに留まります。変更を保存するには、画面上部のグレーのバナーでここをクリックします。表示されるメニューで、[保存] をクリックします。
      続行するか、進捗状況バーで [Test Incident] を選択します 「インシデントのテストとプレビュー」のステップに進みます。先に変更を保存せずにページを離れると、編集内容は保存されません。
      削除 [McAfee ePO 機能プロファイル] リストからこのプロファイルを削除します。
      プロファイルが正常に構成されているので、インシデントの作成時にマルウェアスキャンが自動的にトリガーされます。代替 CI フィールドは、スキャンから一致する CI 結果を入力する際に使用されます。次のステップでは、このプロファイルに対するセキュリティインシデントをプレビューしてテストします。