Konfigurieren Sie Profile und Security Incidents für Systemanreicherungsabfragen für McAfee ePOIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer
  • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: Now Platform®Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch auslösen McAfee ePOFähigkeiten, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld „Konfigurationselement“ (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch auslösen.

    Prozedur

    1. Wenn die Konfigurationsseite nicht angezeigt wird, klicken Sie auf Konfiguration Auf dem Fortschrittsbalken.
    2. Füllen Sie im Formular die Felder aus
      OptionBeschreibung
      Alternatives CI-Auslöserfeld aktivieren Auslöserfeld für alternatives Konfigurationselement (CI). Standard ist gelöscht.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Option „alternatives CI-Auslöserfeld“ deaktiviert ist, wird keine Alternative für das CI-Feld identifiziert. Wenn diese Option deaktiviert ist, muss ein Wert für das CI-Feld in einem ausgefüllt werden SIRSecurity Incident und der Wert im Feld müssen von erkannt werden McAfee ePOKonsole vor dem Profil erfasst Ergänzungsdaten.

      Aktivieren Sie dieses Kontrollkästchen, wenn Sie der Meinung sind, dass das CI-Feld bei der Incident-Erstellung nicht ausgefüllt wird, aber CI-Informationen werden in einem anderen Feld im Security Incident ausgefüllt. Wenn diese Option aktiviert ist, wird die Auswahlliste für alternatives CI-Auslöserfeld angezeigt. Wählen Sie ein alternatives Feld aus der Auswahlliste aus, um nach Ihren CI-Suchkriterien zu suchen.

      Weitere Informationen zum alternativen CI-Auslöserfeld finden Sie unter Definieren von Auslösebedingungen mit einem CI-Feld (Konfigurationselement) für einen McAfee ePOProfil.

      Tags anzeigen Sicherheits-Tags werden für Security Incidents angezeigt. Standard ist gelöscht.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Tagging-Option deaktiviert ist, werden im Konfigurationsformular keine Sicherheits-Tag-Namen angezeigt, und Tags werden für zugehörige Security Incidents nicht angezeigt. In diesem Beispiel ist die Option „Sicherheits-Tags“ deaktiviert.

      Automatischer Auslöser basierend auf Incident Filterbedingungen. Standard ist gelöscht.

      Wenn das Kontrollkästchen deaktiviert und die Option deaktiviert ist, muss das Profil manuell über einen Security Incident aufgerufen werden.

      Wenn diese Option aktiviert ist, wird der Filterbedingungsgenerator angezeigt. Sie müssen die Filterbedingungen festlegen, um anzugeben, wann das Profil bei der Incident-Erstellung automatisch ausgeführt wird.

      Ein gängiges Beispiel für einen Filter für ein Profil, der Ergänzungsabfragen ausführt, ist Kategorie ist schädliche Codeaktivität Und Geschäftsauswirkung ist 1-kritisch . Diese Filterbedingungen helfen Ihnen, die Incidents zu finden, die sich auf bestimmte Arten von Sicherheitsereignissen beziehen, und sie helfen Ihnen, die Anzahl der Security Incidents zu begrenzen, die Sie überprüfen müssen.

      Diese Filtereinstellungen bleiben gespeichert, bis Sie sie ändern. Sie können sie während des Vorschauschritts und des Testvorgangs für Incidents der Konfiguration bearbeiten.
      Genehmigung erforderlich Option „Genehmigung anfordern“. Standard ist gelöscht.

      Diese Genehmigungsoption ist für jedes Profil verfügbar. Normalerweise werden Genehmigungen für Fähigkeiten verwendet, die Aktionen wie Hostisolierung und Malware-Scans aufrufen.

      Wenn das Kontrollkästchen deaktiviert ist und diese Option deaktiviert ist, werden keine Genehmigungsanforderungen übermittelt. Für dieses Beispiel ist keine vorherige Berechtigung für Systemanreicherungsabfragen erforderlich.

      Konfigurieren Sie das McAfee-Fähigkeitsprofil
    3. Führen Sie die folgenden Schritte aus, um die alternative CI-Feldoption zu aktivieren und die Filterbedingungen festzulegen, die dieses Profil automatisch aufrufen.
      1. Wählen Sie aus Aktivieren Sie das alternative CI-Auslöserfeld Kontrollkästchen.
        Das Feld Auslöser für alternatives CI wird angezeigt. In diesem Beispiel glauben Sie als Anwender mit der Rolle „sn_si.admin“, dass das CI-Feld bei der Incident-Erstellung nicht im Security Incident ausgefüllt wird. Alternativ denken Sie, dass CI-Informationen für einen FQDN, einen Hostnamen oder eine IP-Adresse in ausgefüllt werden Identifiziertes CI Feld im Security Incident, und Sie wählen das identifizierte CI-Feld als Alternative aus. Das identifizierte CI ist für dieses Beispiel ausgewählt, Sie können jedoch jedes Feld im Security Incident für das alternative CI verwenden.
      2. Von Alternativer CI-Auslöser Feldauswahlliste, die angezeigt wird, wählen Sie aus Identifiziertes CI Feld.

        Alle verfügbaren Felder im Security Incident werden in der Liste angezeigt, einschließlich aller anwenderdefinierten Felder. Im Feld Auslöser alternativer CI Identifiziertes CI Wird angezeigt.

        Wenn dieses Profil aufgerufen wird und das CI-Feld beim ersten Ereignisauslöser für den zugehörigen Security Incident nicht ausgefüllt wird, verwendet das Profil alternativ den Wert aus dem Feld „identifiziertes CI“ in der Suche.

      3. Wählen Sie aus Automatischer Auslöser basierend auf Incident Kontrollkästchen.
        Der Generator für Filterbedingungen wird angezeigt. Legen Sie mit dieser Option Filterbedingungen fest, und geben Sie an, wann das Profil bei der Erstellung eines Security Incidents automatisch aufgerufen wird.
      4. Definieren Sie die SIR-Incident-Bedingungen, die automatisch die für dieses Profil ausgewählten ePO-Fähigkeiten auslösen.
      5. Wenn die Profilfunktionen, die eine Aktion für einen Endpunkt ausführen, eine Genehmigung erfordern, wählen Sie aus Genehmigung Erforderlich Kontrollkästchen.
      6. Wählen Sie eine Genehmigung mithilfe des Suchsymbols aus.
    4. Klicken Sie Auf Beenden .
      Sie haben das Profil erfolgreich so konfiguriert, dass es bei der Incident-Erstellung automatisch ausgelöst wird und ein alternatives Feld zum Ausfüllen übereinstimmender CI-Ergebnisse verwendet wird.