Konfigurieren von Profilen für McAfee ePOIntegration
Nachdem Sie ein Profil erstellt und ausgewählt haben McAfee ePOFähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen so, dass das Profil nur unter den von Ihnen definierten spezifischen Bedingungen aufgerufen wird.
Konfigurieren eines Profils
In diesem Schritt konfigurieren Sie ein Fähigkeitsprofil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Sie definieren, welche Bedingungen für Security Incidents automatisch auslösen McAfee ePOFähigkeiten, die Sie für das Profil ausgewählt haben. Sie haben auch die Möglichkeit, ein alternatives Eingabefeld für das Feld Konfigurationselement (CI) auszuwählen und Filterbedingungen so festzulegen, dass nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch starten. Der Konfigurationsschritt enthält die folgenden Einstellungen im Konfigurationsformular für das Profil.
Auslöserfeld für alternatives Konfigurationselement (CI)
In Fällen, in denen das Feld Konfigurationselement (CI) auf der angezeigt wird Now Platform® Security Incident Response( SIR) Security Incident ist nicht mit einem Wert ausgefüllt, oder es kann keine Übereinstimmung in der Datenbank gefunden werden. Sie können ein alternatives Feld im Security Incident auswählen, um alle übereinstimmenden CI-Ergänzungsdaten anzuzeigen, die während des Scans Ihrer Assets gefunden wurden. Weitere Informationen zum Konfigurationselement und den Feldern „Alternatives Konfigurationselement“ für einen Security Incident finden Sie unter Definieren von Auslösebedingungen mit einem CI-Feld (Konfigurationselement) für einen McAfee ePOProfil.
Sicherheits-Tags
Damit Sie den Status isolierter Hostcomputer nachverfolgen können und wenn Malware-Scans initiiert werden, ist eine optionale Tagging-Funktion verfügbar. Standardmäßig ist diese Option im Konfigurationsformular für Profile deaktiviert. Wenn diese Option während des Konfigurationsschritts aktiviert ist, werden Sicherheits-Tag-Namen im Konfigurationsformular angezeigt. Dies sind die Namen der Tags, die in zugehörigen Security Incidents angezeigt werden. Diese Tags informieren Sie, wenn eine Host-Isolierungsaktion erfolgreich initiiert und genehmigt wird. Nachdem ein Host erfolgreich an das Netzwerk zurückgegeben wurde, wird das Sicherheits-Tag automatisch aus dem Security Incident entfernt. Bei Malware-Scans wird im zugehörigen Security Incident ein Tag angezeigt, wenn ein Scan geplant wird. Nach Abschluss des Scans wird das geplante Tag automatisch durch ein Tag ersetzt, das angibt, dass der Scan erfolgreich abgeschlossen wurde.
Automatischer Auslöser basierend auf Incident
Wenn die Option „Automatischer Auslöser basierend auf Incident“ aktiviert ist, ist der Filterbedingungsgenerator verfügbar, und Sie müssen Filterbedingungen festlegen, die angeben, wann das Profil automatisch ausgeführt wird. Ein allgemeiner Filter ist Kategorie ist schädliche Codeaktivität ™Und Geschäftsauswirkung ist 1 – Kritisch ™. Mit diesen Filtern starten nur Security Incidents, die sich auf schädlichen Code beziehen und kritische Geschäftsauswirkungen haben, das Profil. Mit der Option „Automatischer Auslöser“ kann die Anzahl der Security Incidents reduziert werden, die das Profil automatisch aufrufen.
Genehmigungen
Wenn Ihre Organisation ein zusätzliches Maß an Kontrolle über Aktionen wie das Isolieren von Hostcomputern und das Initiieren von Malware-Scans wünscht, können Sie die Option Genehmigung anfordern während des Konfigurationsschritts für ein Profil aktivieren.
Wenn beispielsweise sowohl die Genehmigungs- als auch die Tagging-Funktionen für ein Profil aktiviert sind, wird der zugehörige Security Incident automatisch mit dem Tag versehen, dass die Aktion initiiert wird. Anforderungen werden standardmäßig zur Genehmigung an einen Anwender mit der Rolle „sn_si.admin“ gesendet, diese Genehmigung kann jedoch einer anderen Person oder einer Genehmigungsgruppe entsprechend den Anforderungen Ihrer Organisation neu zugewiesen werden. Genehmiger verarbeiten Anforderungen in Meine Genehmigungen In ihren Now Platform®Instanzen. Sicherheits-Tags werden für zugehörige Security Incidents angezeigt. Alle Workflow-Aktivitäten werden auch in Arbeitsnotizen protokolliert, um einen Audit-Pfad zu erstellen.
ServiceNowAudit-Protokoll in McAfee ePOKonsole
In Version 5.10.0 von McAfee ePO, A ServiceNowDie Registerkarte wird mit einem Protokoll von Befehlen angezeigt, die von Ihrem initiiert werden Now Platform®Instanz. Nachdem eine Aktion oder eine Abfrage über ein Profil in aufgerufen wurde Now Platform®Instanz auf einem Hostcomputer (Endpunkt) in McAfee ePOKonsole, ein Audit-Protokoll von ServiceNowBefehle werden in erstellt McAfee ePOKonsole. Dieses Protokoll wird in der Systemstruktur in angezeigt McAfee ePOKonsole und hilft Ihnen, die Zeiten der Befehle zu auditieren, die an bestimmte Endpunkte gesendet werden. Zum Anzeigen protokollierter Elemente ServiceNowEreignisse auf bestimmten Computern in einem McAfee ePOKonsole, führen Sie diese Schritte aus.
- Navigieren Sie zur Systemstruktur in McAfee ePOKonsole und suchen Sie ServiceNowRegisterkarte.
- Klicken Sie auf die Registerkarte, um eine Liste von Hostcomputern zu öffnen.
- Klicken Sie in der Spalte Name auf einen Hostnamen, um das Audit-Protokoll zu öffnen.
Im folgenden Bild ein Beispiel für ein Protokoll für einen Host ( PODCLIENT1 ) Wird angezeigt.
Die Ereignisse, die über die Profile in Ihrem initiiert wurden Now Platform®Instanz wird aufgezeichnet und im Protokoll angezeigt. Überprüfen Sie, indem Sie den Status des Hostcomputers überprüfen, ob die im Protokoll aufgeführten Ereignisse auf dem Host erfolgreich abgeschlossen wurden.
Beispielprofile
Die folgenden Themen enthalten Beispiele für die Konfiguration von Profilen und das Testen von Security Incidents. Diese Beispiele enthalten Profile für alle McAfee ePOFähigkeiten, die für diese Integration verfügbar sind.