Auslösebedingungen in einem Konfigurationselement

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Nachdem Sie ein Profil erstellt und die Microsoft Defender for Endpoint -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass das Profil nur ausgeführt wird, wenn bestimmte Bedingungen erfüllt sind.

    So lösen Sie Bedingungen in einem Konfigurationselement aus

    Sie können Auslöserbedingungen festlegen, sodass das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie für den Security Incident auf das Formular EDR-Profil ausführen klicken und das Profil auswählen.

    Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in Now Platform Configuration Management Database (CMDB)gespeicherten Informationen abzugleichen. Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird CMDB durchsucht, um den Hostnamen oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname oder die IP-Adresse wird verwendet, um die Agent-ID auf Microsoft Defender for Endpoint aufzulösen und den Endpunkt zu identifizieren.

    In einem idealen Szenario wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten werden in der Konsole Microsoft Defender for Endpoint für das übereinstimmende Asset gesammelt. Die Daten für verschiedene Fähigkeiten werden in Ihre Instanz Now Platform Configuration Management Database (CMDB) abgerufen und in den zugehörigen Listen eines Security Incident angezeigt. Wenn das Feld Konfigurationselement (CI) im Security Incident nicht mit einem Hostnamen mit oder einer IP-Adresse ausgefüllt wird, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, das entweder den Hostnamen oder die auszuführende IP enthält die Agent-ID-Auflösung.

    Während des Konfigurationsschritts der Profileinrichtung können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt auf Microsoft Defender for Endpointidentifizieren können. Sie können ein beliebiges Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich benutzerdefinierter Felder, die Sie erstellen. Durch die Auswahl dieses alternativen CI-Felds als Sicherung stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung für den zugeordneten Security Incident nicht ausgefüllt wird.

    Hinweis:
    Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden können. Zu diesen Fähigkeiten gehören „Hostdetails abrufen“, „Angemeldete Benutzer abrufen“, „Host isolieren“ und „Isolierung entfernen“. Für alle zusätzlichen Aktionen muss das alternative CI im Modul „Standardeinstellungen“ konfiguriert werden.