Testar incidentes de segurança e aprovar solicitações para o host isolado

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • A etapa de teste e visualização permite validar se os resultados do fluxo de trabalho de isolamento de host e remover isolamento de host são retornados conforme esperado para o perfil.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Durante esta etapa da configuração, como um usuário com a função sn_si.admin, verifique se o perfil configurado com o recurso Isolar host retorna incidentes de segurança e IDs de ativos correspondentes conforme o esperado. Exibir o real ServiceNow AI Platform Resposta a incidentes de segurança( SIR incidentes de segurança criados quando ocorrem condições de evento de segurança que correspondem às configurações do seu perfil.

    Depois que uma solicitação para isolar uma máquina host é enviada, como um usuário com uma função de aprovador, processe a solicitação.

    Procedimento

    1. Se a página Testar incidente não for exibida, clique em Incidente de teste na barra de andamento.
      Página Testar incidente de um perfil de capacidade do McAfee.
      A página Testar incidente é exibida para o seu perfil. Para este exemplo, Isolar host ™o perfil que você criou e configurou nas seções anteriores é exibido.
    2. À direita do campo superior, clique no ícone de pesquisa para selecionar um incidente de segurança para visualizar.
      Símbolo de pesquisa realçado.
    3. Na coluna Número da lista exibida, selecione um item que você deseja exibir na visualização.

      Somente incidentes de segurança que correspondem aos critérios definidos para o perfil são exibidos.

      Lista de incidentes de segurança.
      Os incidentes de segurança são exibidos na página .
    4. Repita as etapas 2 e 3 até que todos os incidentes que você deseja visualizar sejam exibidos nos campos.
      Selecione até cinco incidentes de segurança para a visualização.
    5. Clique em Visualização do McAfee ePO para exibir os incidentes de segurança.
      Botão Visualização do McAfee ePO realçado.
      Os incidentes criados para as condições de evento de segurança que correspondem ao seu perfil são exibidos em guias.
      Nota:
      Se você sair da página Testar incidente neste momento, seus incidentes de segurança serão limpos desses campos.
      Incidentes de segurança exibidos nas guias.
    6. Selecione uma guia e, no incidente de segurança, role para exibir as anotações de trabalho.
      Registro em log de anotações de trabalho quando as tarefas de capacidade são iniciadas e concluídas com sucesso.
      Para este exemplo, SIR0010021 da imagem anterior está selecionado. As anotações de trabalho listam em que o fluxo de trabalho Isolar do host foi iniciado. . Aprovação necessária para este perfil, as anotações de trabalho indicam que a solicitação é aprovação pendente .

      Na parte superior do incidente, o marcador de segurança é exibido indicando que a solicitação foi iniciada ( Isolar host - Iniciado ).

      Incidente de segurança com o marcador Isolar host enfileirado exibido.

      Você localizou com sucesso incidentes de segurança que correspondem ao seu perfil para o recurso Isolar host e visualizou um incidente de segurança.

    7. Se você for um usuário em um grupo de aprovação, siga estas etapas para processar uma solicitação.
      1. Navegue até Minhas aprovações em sua instância.

        Para este exemplo, o nome de usuário do aprovador é Mary, administrador ™.

        Módulo Minhas aprovações realçado.
        A lista de aprovações é exibida.
      2. Na coluna Estado, clique em um item para abrir o registro de aprovação.
        Em Minhas aprovações, a coluna Solicitado no estado realçada.
      3. No registro de aprovação exibido, clique em Aprovar ou Rejeitar .
        No registro de aprovação, os botões Aprovar e Rejeitar realçados.
        Depois de processar a solicitação, o fluxo de trabalho pode levar alguns minutos para ser executado. No registro na parte superior, uma mensagem será exibida, conforme mostrado na figura a seguir, se a transação demorar mais de alguns segundos.
        Mensagem de processamento de transações.

        Após alguns momentos, no registro de aprovação exibido, a coluna Estado muda de Solicitado . Aprovado . Nenhuma aprovação adicional é necessária para isolar a máquina host desta solicitação. Se a solicitação for rejeitada, o host não será isolado e a solicitação permanecerá pendente. Como um usuário com a função sn_si.analyst, se a solicitação for rejeitada, você deverá enviar uma nova solicitação se ainda quiser isolar o endpoint.

        Em Minhas aprovações, Aprovado exibido na coluna Estado.

        A solicitação para isolar a máquina host na figura anterior foi aprovada.

      4. Navegar até Incidente de segurança > incidentes > Mostrar todos os incidentes E, na coluna Número, clique em uma entrada para abrir o incidente de segurança com o qual você está trabalhando.
        Mostrar todos os incidentes realçados no painel de navegação.
        No incidente de segurança exibido, o. Isolar host - Concluído ™o marcador substitui Isolar host - Iniciado ™marcador. O fluxo de trabalho de isolamento de host para este exemplo foi bem-sucedido.
        No incidente de segurança, o host isolou com sucesso o marcador de segurança.
        As anotações de trabalho sobre o incidente de segurança também indicam que o isolamento do host foi concluído e o aprovador, Mary, administrador ™está listado.
        Registro em log de anotações de trabalho quando as tarefas de capacidade são iniciadas e concluídas com sucesso.
        Importante:
        Embora o marcador de segurança e as anotações de trabalho no incidente de segurança indiquem que um fluxo de trabalho de isolar host bem-sucedido foi concluído, retorne ao McAfee ePO console e verifique se a máquina host está isolada da sua rede.

        Depois de concluir sua investigação no ativo, inicie o fluxo de trabalho Remover isolamento do Entradas de isolamento de host ™tabela em seu ServiceNow AI Platform® instância para retornar o host à rede.

    8. Para remover o host da quarentena e devolvê-lo à rede, siga estas etapas.
      1. . McAfee ePO A tabela Isolar entradas de host não é exibida, navegue até Integração do McAfee ePO > Isolar entradas de host da integração do McAfee ePO.
        Na tabela Isolar entradas de host do McAfee ePO, a coluna Status com Isolado realçado.
        A lista Isolar entradas de host é exibida. Na parte superior da lista na coluna Status, pesquise o ativo isolado.
      2. Na coluna Data adicionada, clique no item para abrir o registro.
        O registro Isolar entradas de host é exibido. Uma trilha de auditoria para todas as ações associadas ao incidente de segurança é exibida nas anotações de trabalho. Na figura a seguir, a última entrada nas anotações de trabalho é um isolamento de host bem-sucedido. A data em que a quarentena foi concluída é exibida em Data adicionada campo ( 2019-01-03 14:04:17 ).
        Isolar registro de entradas de host.
      3. Clique em Remover isolamento para iniciar o fluxo de trabalho para restaurar a máquina para a rede.
        O registro Isolar entrada de host é exibido. Na parte superior do registro, uma mensagem indica que a solicitação foi enviada. O Status muda de Isolado . Aprovação pendente e uma anotação de trabalho é registrada em log. Nesse caso, o administrador do sistema solicitou que a máquina seja restaurada para a rede.
        Isolar o registro de entrada do host com mensagens.
      4. Depois de ser notificado sobre a solicitação, como um usuário com permissão de aprovação para isolamento de host, navegue até Minhas aprovações em sua instância e abra o registro da solicitação de remoção de isolamento.
      5. Clique em Aprovar para aprovar a solicitação e retornar o ativo para a rede.
        Como alternativa, clique em Rejeitar para manter a solicitação no estado de aprovação pendente. Se uma solicitação for rejeitada, uma nova solicitação deverá ser enviada para isolar o host. Depois de aprovar a solicitação para remover o isolamento do host, o marcador no incidente de segurança é removido. As anotações de trabalho criam uma trilha de auditoria para a solicitação de remoção de isolamento. Para este exemplo, o administrador do sistema iniciou e aprovou a solicitação.
        Registro em log de anotações de trabalho quando as tarefas de capacidade são iniciadas e concluídas com sucesso.

        O marcador de segurança e as anotações de trabalho no incidente de segurança indicam que o fluxo de trabalho de remoção de isolamento do host foi concluído com sucesso. Para verificar se o host está de volta na rede, retorne ao McAfee ePO console e verifique se a máquina host agora está ativa.

    9. Escolha um para continuar.
      OpçãoDescrição
      Anterior Retorne à etapa Configuração do perfil. Se você não estiver satisfeito com os resultados de teste e visualização, continue definindo as configurações de perfil.
      Encerrar Conclua a configuração. Você será solicitado a confirmar a ativação.