Definieren von Auslösebedingungen mit einem CI-Feld (Konfigurationselement) für einen McAfee ePOProfil
Nachdem Sie ein Profil erstellt und ausgewählt haben McAfee ePOFähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen des Profils so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt sind.
Sie haben die Flexibilität, diese Auslösebedingungen festzulegen, damit das Profil automatisch basierend auf den Standardfeldwerten ausgeführt wird, die auf einer abgeglichen werden Now Platform® Security Incident ResponseSecurity Incident. Alternativ können Sie ein Profil so einrichten, dass es nach Übereinstimmungen für Feldwerte sucht, die Sie speziell im Security Incident identifizieren.
Einer der Schlüssel für die Funktionalität der Integration und die Funktionsweise eines Profils ist das Feld Konfigurationselement (CI) auf der Now Platform® Security Incident Response( SIR) Security Incident. Der Wert dieses Felds ist der Hauptwert für einen Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in gespeicherten Informationen abzugleichen Now Platform®Datenbank. Wenn ein SIRSecurity Incident wird durch ein Sicherheitsereignis erstellt und ein Profil aktiviert. Ihre Assets werden basierend auf dem Wert des Felds „Konfigurationselement“ nach einem übereinstimmenden Wert für einen vollqualifizierten Domänennamen (FQDN), einen Hostnamen oder eine IP-Adresse gescannt.
Im Idealfall wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten können aus gesammelt werden McAfee ePOKonsole für das übereinstimmende Asset, abgerufen in Ihr Now Platform®Instanz und wird in den zugehörigen Listen eines Security Incidents angezeigt. Die folgende Abbildung zeigt ein Beispiel für das Feld „Konfigurationselement“, das mit einem Hostnamen auf einem ausgefüllt wird SIRSecurity Incident.
Wenn das Feld „Konfigurationselement“ (CI) im Security Incident nicht ausgefüllt ist oder keine Übereinstimmung für einen FQDN, einen Hostnamen oder eine IP-Adresse gefunden werden kann, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um alle übereinstimmenden CI-Ergänzungsdaten anzuzeigen, die während des Scans Ihrer Assets gefunden wurden.
Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Ergänzungsdaten aus der stammen McAfee ePODie Suche wird für den zugehörigen Security Incident ausgefüllt. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht im zugehörigen Security Incident ausgefüllt ist.
Als Beispiel erstellen Sie als Analyst des Security Operations Center (SOC) ein anwenderdefiniertes Feld für einen Security Incident mit dem Namen „IP-Adresse“ in „mein Security Incident“. Wenn Sie nicht der Meinung sind, dass der Wert dieses anwenderdefinierten Felds bei der Incident-Erstellung im Feld Konfigurationselement im Security Incident angezeigt wird, können Sie das Profil so einrichten, dass es nach dieser IP-Adresse scannt. Bei Übereinstimmung wird die IP-Adresse auf dem Security Incident im Feld Ihrer Wahl angezeigt. In der folgenden Abbildung ist Identifiziertes CI Feld ist als alternatives Feld für die IP-Adresse für dieses Beispiel ausgewählt.
Wenn keine übereinstimmenden IDs für das CI-Feld oder das alternative CI-Feld gefunden werden, wird eine Arbeitsnotiz protokolliert, und eine Nachricht wird im Security Incident angezeigt. Wenn keine Übereinstimmungen gefunden werden, werden für die Security Incidents im Zusammenhang mit dem Ereignis keine Ergänzungsdaten ausgefüllt.
Sie aktivieren das alternative CI-Auslöserfeld und wählen das Feld aus, in dem Sie die übereinstimmende ID während des Konfigurationsschritts für ein Profil anzeigen möchten. Dieser Schritt zum Aktivieren des Felds „Alternative CI“ wird zusammen mit den anderen Profilkonfigurationsanforderungen in beschrieben Konfigurieren von Profilen für McAfee ePOIntegration.