Konfigurieren Sie Profile und Security Incidents für Systemanreicherungsabfragen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: ServiceNow AI Platform® Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch auslösen McAfee ePO Fähigkeiten, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch auslösen.

    Prozedur

    1. Wenn die Konfigurationsseite nicht angezeigt wird, klicken Sie auf Konfiguration Auf der Fortschrittsleiste.
    2. Füllen Sie die Felder im Formular aus
      OptionBeschreibung
      Alternatives CI-Auslöserfeld aktivieren Auslöserfeld für alternatives Konfigurationselement (CI). Standard ist gelöscht.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Option alternatives CI-Auslöserfeld deaktiviert ist, wird keine Alternative für das CI-Feld identifiziert. Wenn diese Option deaktiviert ist, muss ein Wert für das CI-Feld in einem ausgefüllt werden SIR Security Incident und der Wert im Feld müssen von erkannt werden McAfee ePO Konsole vor dem Profil erfasst Ergänzungsdaten.

      Aktivieren Sie dieses Kontrollkästchen, wenn Sie der Meinung sind, dass das CI-Feld bei der Incident-Erstellung nicht ausgefüllt wird, aber CI-Informationen werden in einem anderen Feld im Security Incident ausgefüllt. Wenn diese Option aktiviert ist, wird die Auswahlliste alternatives CI-Auslöserfeld angezeigt. Wählen Sie ein alternatives Feld aus der Auswahlliste aus, um nach Ihren CI-Suchkriterien zu suchen.

      Weitere Informationen zum alternativen CI-Auslöserfeld finden Sie unter Definieren von Auslösebedingungen mit einem CI-Feld (Configuration Item).
      Tags anzeigen Sicherheits-Tags werden bei Security Incidents angezeigt. Standard ist gelöscht.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Tagging-Option deaktiviert ist, werden im Konfigurationsformular keine Sicherheits-Tag-Namen angezeigt, und Tags werden für zugehörige Security Incidents nicht angezeigt. In diesem Beispiel ist die Option Sicherheits-Tags deaktiviert.
      Automatischer Auslöser basierend auf Incident Filterbedingungen. Standard ist gelöscht.

      Wenn das Kontrollkästchen deaktiviert und die Option deaktiviert ist, muss das Profil manuell über einen Security Incident aufgerufen werden.

      Wenn diese Option aktiviert ist, wird der Filterbedingungsgenerator angezeigt. Sie müssen die Filterbedingungen festlegen, um anzugeben, wann das Profil bei der Incident-Erstellung automatisch ausgeführt wird.

      Ein gängiges Beispiel für einen Filter für ein Profil, der Ergänzungsabfragen ausführt, ist Kategorie ist schädliche Codeaktivität Und Geschäftsauswirkung ist 1-kritisch . Diese Filterbedingungen helfen Ihnen, die Incidents zu finden, die sich auf bestimmte Arten von Sicherheitsereignissen beziehen, und sie helfen Ihnen, die Anzahl der Security Incidents zu begrenzen, die Sie überprüfen müssen.

      Diese Filtereinstellungen bleiben gespeichert, bis Sie sie ändern. Sie können sie während des Vorschauschritts und Testvorgangs für Incidents der Konfiguration bearbeiten.
      Genehmigung erforderlich Option „Genehmigung anfordern“. Standard ist gelöscht.

      Diese Genehmigungsoption ist für jedes Profil verfügbar. Normalerweise werden Genehmigungen für Funktionen verwendet, die Aktionen wie Hostisolierung und Malware-Scans aufrufen.

      Wenn das Kontrollkästchen deaktiviert ist und diese Option deaktiviert ist, werden keine Genehmigungsanforderungen übermittelt. In diesem Beispiel ist keine vorherige Berechtigung für Systemanreicherungsabfragen erforderlich.
      Konfigurieren Sie das McAfee-Fähigkeitsprofil
    3. Um die Option „alternatives CI-Feld“ zu aktivieren und die Filterbedingungen festzulegen, die dieses Profil automatisch aufrufen, führen Sie die folgenden Schritte aus.
      1. Wählen Sie aus Aktivieren Sie das alternative CI-Auslöserfeld Kontrollkästchen.
        Das Feld alternativer CI-Auslöser wird angezeigt. In diesem Beispiel glauben Sie als Anwender mit der Rolle „sn_si.admin“, dass das CI-Feld bei der Incident-Erstellung nicht im Security Incident ausgefüllt wird. Alternativ denken Sie, dass CI-Informationen für einen FQDN, einen Hostnamen oder eine IP-Adresse in ausgefüllt werden Identifiziertes CI Feld im Security Incident, und Sie wählen das Feld „identifiziertes CI“ als Alternative aus. Das identifizierte CI ist für dieses Beispiel ausgewählt, Sie können jedoch jedes Feld im Security Incident für das alternative CI verwenden.
      2. Von Alternativer CI-Auslöser Feldauswahlliste, die angezeigt wird, wählen Sie aus Identifiziertes CI Feld.

        Alle verfügbaren Felder im Security Incident werden in der Liste angezeigt, einschließlich aller anwenderdefinierten Felder. Im Feld alternativer CI-Auslöser Identifiziertes CI Wird angezeigt.

        Wenn dieses Profil aufgerufen wird und das CI-Feld beim ersten Ereignisauslöser nicht im zugehörigen Security Incident ausgefüllt wird, verwendet das Profil alternativ den Wert aus dem Feld „identifiziertes CI“ in der Suche.

      3. Wählen Sie aus Automatischer Auslöser basierend auf Incident Kontrollkästchen.
        Der Generator für Filterbedingungen wird angezeigt. Legen Sie mit dieser Option Filterbedingungen fest, und geben Sie an, wann das Profil bei der Erstellung eines Security Incidents automatisch aufgerufen wird.
      4. Definieren Sie die SIR-Incident-Bedingungen, die automatisch die für dieses bestimmte Profil ausgewählten ePO-Fähigkeiten auslösen.
      5. Wenn die Profilfunktionen, die eine Aktion für einen Endpunkt ausführen, eine Genehmigung erfordern, wählen Sie aus Genehmigung Erforderlich Kontrollkästchen.
      6. Wählen Sie über das Suchsymbol eine Genehmigung aus.
    4. Klicken Sie auf Fertigstellen.
      Sie haben das Profil erfolgreich so konfiguriert, dass es bei der Incident-Erstellung automatisch ausgelöst wird und ein alternatives Feld zum Ausfüllen übereinstimmender CI-Ergebnisse verwendet wird.