Nachdem Sie ein Profil erstellt und die FireEye-Funktionen ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist.

Sie können Auslöserbedingungen festlegen, sodass das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in der Now Platform-CMDB gespeicherten Informationen abzugleichen. Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird die CMDB durchsucht, um den Hostnamen und/oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname und/oder die IP werden verwendet, um die Agent-ID auf FireEye HX aufzulösen und den Endpunkt zu identifizieren.

Im Idealfall wird ein übereinstimmender Wert in der -Datenbank gefunden, und Daten werden von der Konsole FireEye HX für das übereinstimmende Asset gesammelt. Die Daten für verschiedene Fähigkeiten werden in Ihre Now Platform-Instanz abgerufen und in den zugehörigen Listen von Security Incidents angezeigt. Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der -Datenbank entspricht, können Sie im Security Incident ein alternatives Feld auswählen, das entweder den Hostnamen oder die auszuführende IP-Adresse enthält die Agent-ID-Auflösung.

Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt unter FireEye HXidentifizieren können. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Durch Auswahl dieses alternativen CI-Felds als Sicherung stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung im zugehörigen Security Incident nicht ausgefüllt wird.

Hinweis:

Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden können. Für alle zusätzlichen Aktionen wird das alternative CI von der Seite mit den Standardeinstellungen ausgewählt.