Configure perfis e incidentes de segurança para consultas de aprimoramento do sistema

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 4 min. de leitura

    • Defina suas configurações de perfil para que o perfil seja acionado somente sob as condições definidas por você.

    Antes de Iniciar

    Função necessária: ServiceNow AI Platform® administrador de incidentes de segurança (sn_si.admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Defina as condições que acionam automaticamente o. McAfee ePO recursos que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.

    Procedimento

    1. Se a página Configuração não for exibida, clique em Configuração na barra de andamento.
    2. No formulário, preencha os campos
      OpçãoDescrição
      Habilitar campo de gatilho de IC alternativo Campo de gatilho de item de configuração alternativo (IC). O padrão é limpo.

      Quando esta caixa de seleção está desmarcada e a opção de campo de gatilho de IC alternativo está desabilitada, uma alternativa para o campo de IC não é identificada. Se desabilitado, um valor para o campo IC deve ser preenchido em um SIR incidente de segurança e o valor no campo devem ser reconhecidos pelo McAfee ePO console antes que o perfil colete dados de aprimoramento.

      Marque esta caixa de seleção se você acredita que o campo IC não será preenchido após a criação do incidente, mas as informações de IC serão preenchidas em outro campo no incidente de segurança. Quando esta opção está habilitada, a lista de seleção do campo do gatilho de IC alternativo é exibida. Escolha um campo alternativo na lista de seleção para verificar seus critérios de pesquisa de IC.

      Para obter mais informações sobre o campo do gatilho de IC alternativo, consulte Definir condições de acionamento com um campo Item de configuração (IC).
      Marcadores de exibição Marcadores de segurança são exibidos em incidentes de segurança. O padrão é limpo.

      Quando esta caixa de seleção está desmarcada e a opção de marcação está desabilitada, nenhum nome de marcador de segurança é exibido no formulário de configuração e os marcadores não são exibidos em incidentes de segurança relacionados. Para este exemplo, a opção de marcadores de segurança está desabilitada.
      Gatilho automático com base no incidente Condições de filtro. O padrão é limpo.

      Quando a caixa de seleção está desmarcada e a opção está desabilitada, o perfil deve ser invocado manualmente a partir de um incidente de segurança.

      Quando esta opção está habilitada, o Construtor de condição de filtro é exibido. Você deve definir as condições de filtragem para especificar quando o perfil será executado automaticamente após a criação do incidente.

      Um exemplo comum de um filtro para um perfil que executa consultas de aprimoramento é A categoria é uma atividade de código mal-intencionado e. O impacto nos negócios é 1-Crítico . Essas condições de filtro ajudam a localizar os incidentes relacionados a tipos específicos de eventos de segurança e ajudam a limitar o número de incidentes de segurança que você precisa revisar.

      Essas configurações de filtro permanecem salvas até que você as altere e elas ficam disponíveis para edição durante a etapa de visualização e teste do incidente da configuração.
      Requer aprovação Opção de aprovação da solicitação. O padrão é limpo.

      Esta opção de aprovação está disponível para qualquer perfil. Normalmente, as aprovações são usadas para recursos que invocam ações como isolamento de host e verificações de malware.

      Quando a caixa de seleção está desmarcada e esta opção está desabilitada, nenhuma solicitação de aprovação é enviada. Para este exemplo, nenhuma permissão prévia é necessária para consultas de aprimoramento do sistema.
      Configure o perfil de capacidade do McAfee
    3. Para habilitar a opção de campo de IC alternativo e definir as condições de filtragem que invocam automaticamente este perfil, siga estas etapas.
      1. Selecione Habilitar campo de gatilho de IC alternativo caixa de seleção.
        O campo do gatilho de IC alternativo é exibido. Para este exemplo, como um usuário com a função sn_si.admin, você acredita que o campo IC não será preenchido no incidente de segurança após a criação do incidente. Como alternativa, você acha que as informações de IC para um FQDN, nome de host ou endereço IP serão preenchidas no IC identificado No incidente de segurança e você seleciona o campo IC identificado como uma alternativa. O IC identificado é selecionado para este exemplo, mas você pode usar qualquer campo no incidente de segurança para o IC alternativo.
      2. Em Gatilho de IC alternativo lista de seleção de campo exibida, selecione IC identificado campo.

        Todos os campos disponíveis no incidente de segurança são exibidos na lista, incluindo todos os campos personalizados. No campo Gatilho de IC alternativo, IC identificado é exibido.

        Quando este perfil é invocado e o campo IC não é preenchido no incidente de segurança associado no gatilho de evento inicial, o perfil usa alternativamente o valor do campo IC identificado na pesquisa.

      3. Selecione Gatilho automático com base no incidente caixa de seleção.
        O construtor de condições de filtro é exibido. Com esta opção, defina condições de filtragem e especifique quando o perfil será invocado automaticamente após a criação de um incidente de segurança.
      4. Defina as condições de incidente SIR que acionarão automaticamente os recursos do ePO selecionados para este perfil específico.
      5. Se os recursos de perfil que executam uma ação em um endpoint exigirem aprovação, selecione Aprovação necessária caixa de seleção.
      6. Selecione uma aprovação usando o ícone de pesquisa.
    4. Clique em Concluir.
      Você configurou o perfil com sucesso para que ele seja acionado automaticamente após a criação do incidente e um campo alternativo é usado para preencher os resultados de IC correspondentes.