구성 항목에서 조건을 트리거하는 방법

트리거 조건과 일치하는 보안 인시던트가 생성될 때마다 프로파일이 자동으로 실행되도록 트리거 조건을 설정할 수 있습니다. 트리거 조건이 설정되지 않은 경우 보안 인시던트에서 EDR 프로필 실행 양식을 클릭하고 프로필을 선택하여 이러한 프로필을 수동으로 실행할 수 있습니다.

기본적으로 통합은 보안 인시던트의 CI(구성 항목) 필드를 사용합니다. 이 값은 자산의 ID를 에 저장된 Now Platform 구성 관리 데이터베이스(CMDB)정보와 일치시키는 데 사용됩니다. 보안 인시던트가 생성되고 프로파일이 자동 또는 수동으로 CMDB 실행되면 CI 필드의 값을 기반으로 호스트 이름 또는 IP 주소를 검색하기 위해 검색됩니다. 호스트 이름 또는 IP는 엔드포인트를 식별하기 위해 에이전트 ID를 Microsoft Defender for Endpoint 확인하는 데 사용됩니다.

이상적인 시나리오에서는 데이터베이스에 일치하는 값이 발견되고 일치하는 자산에 대한 데이터가 콘솔에서 Microsoft Defender for Endpoint 수집됩니다. 다양한 역량에 대한 데이터를 인스턴스로 Now Platform 구성 관리 데이터베이스(CMDB) 끌어와 보안 인시던트의 관련 목록에 표시합니다. 보안 인시던트의 CI(구성 항목) 필드가 데이터베이스와 일치하는 호스트 이름 또는 IP 주소로 채워지지 않은 경우 에이전트 ID 확인을 수행하기 위해 호스트 이름 또는 IP를 포함하는 보안 인시던트의 대체 필드를 선택할 수 있습니다.

프로파일 설정의 구성 단계 중에 엔드포인트 식별을 위한 대체 CI 필드를 선택하여 에서 엔드포인트 Microsoft Defender for Endpoint를 식별할 수 있는지 확인할 수 있습니다. 직접 만든 사용자 지정 필드를 포함하여 보안 인시던트의 모든 필드를 대체 CI 트리거 필드로 선택할 수 있습니다. 이 대체 CI 필드를 백업으로 선택하면 인시던트 생성 시 관련 보안 인시던트에 CI 필드가 채워지지 않은 경우에도 프로파일을 실행할 수 있습니다.