Testen Sie Security Incidents, und genehmigen Sie Anforderungen für den isolierten Host

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer

    • Mit dem Test- und Vorschauschritt können Sie überprüfen, ob die Ergebnisse des Workflows für die Hostisolierung und das Entfernen der Hostisolierung wie erwartet für das Profil zurückgegeben werden.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Stellen Sie während dieses Schritts der Konfiguration als Anwender mit der Rolle „sn_si.admin“ sicher, dass das Profil, das Sie mit der Funktion „Host isolieren“ konfiguriert haben, Security Incidents und übereinstimmende Asset-IDs wie erwartet zurückgibt. Zeigen Sie den ist-Wert an ServiceNow AI Platform Security Incident Response( SIR) Security Incidents, die erstellt werden, wenn Bedingungen für Sicherheitsereignisse auftreten, die den Einstellungen Ihres Profils entsprechen.

    Nachdem eine Anforderung zum Isolieren eines Hostcomputers übermittelt wurde, verarbeiten Sie die Anforderung als Anwender mit einer Genehmigerrolle.

    Prozedur

    1. Wenn die Seite Incident testen nicht angezeigt wird, klicken Sie auf Test-Incident In der Fortschrittsleiste.
      Test-Incident-Seite eines McAfee-Fähigkeitsprofils.
      Die Seite Test Incident wird für Ihr Profil angezeigt. Für dieses Beispiel die Host Isolieren ™Das Profil, das Sie in den vorherigen Abschnitten erstellt und konfiguriert haben, wird angezeigt.
    2. Klicken Sie rechts neben dem oberen Feld auf das Suchsymbol, um einen Security Incident für die Vorschau auszuwählen.
      Suchsymbol hervorgehoben.
    3. Wählen Sie in der Spalte Nummer der angezeigten Liste ein Element aus, das Sie in der Vorschau anzeigen möchten.

      Es werden nur Security Incidents angezeigt, die den von Ihnen für das Profil festgelegten Kriterien entsprechen.

      Liste der Security Incidents.
      Die Security Incidents werden auf der Seite angezeigt.
    4. Wiederholen Sie die Schritte 2 und 3, bis alle Incidents, die Sie in der Vorschau anzeigen möchten, in den Feldern angezeigt werden.
      Wählen Sie bis zu fünf Security Incidents für die Vorschau aus.
    5. Klicken Sie Auf McAfee ePO-Vorschau Dient zum Anzeigen der Security Incidents.
      McAfee ePO-Vorschauschaltfläche hervorgehoben.
      Die Incidents, die für die Bedingungen des Sicherheitsereignisses erstellt wurden, die Ihrem Profil entsprechen, werden auf Registerkarten angezeigt.
      Hinweis:
      Wenn Sie die Seite „Incident testen“ zu diesem Zeitpunkt verlassen, werden Ihre Security Incidents aus diesen Feldern gelöscht.
      Security Incidents, die auf Registerkarten angezeigt werden.
    6. Wählen Sie eine Registerkarte aus, und scrollen Sie im Security Incident, um die Arbeitsnotizen anzuzeigen.
      Protokollierung von Arbeitsnotizen, wenn Fähigkeitsaufgaben initiiert und erfolgreich abgeschlossen werden.
      Für dieses Beispiel wird SIR0010021 aus dem vorherigen Bild ausgewählt. Die Liste der Arbeitsnotizen, in der der Workflow zum Isolieren des Hosts gestartet wird. Weil Genehmigung Erforderlich Die Option ist für dieses Profil aktiviert. Die Arbeitsnotizen geben an, dass die Anforderung ist Genehmigung ausstehend .

      Oben im Incident wird das Sicherheits-Tag angezeigt, das angibt, dass die Anforderung initiiert wurde ( Host Isolieren – Initiiert ).

      Security Incident mit Tag „Host in Warteschlange isolieren“ angezeigt.

      Sie haben erfolgreich Security Incidents gefunden, die Ihrem Profil für die Fähigkeit „Host isolieren“ entsprechen, und einen Security Incident angezeigt.

    7. Wenn Sie ein Anwender in einer Genehmigungsgruppe sind, führen Sie die folgenden Schritte aus, um eine Anforderung zu verarbeiten.
      1. Navigieren Sie zu Meine Genehmigungen In Ihrer Instanz.

        In diesem Beispiel lautet der Anwendername des Genehmigers Mary-Administrator ™.

        Modul „meine Genehmigungen“ hervorgehoben.
        Die Genehmigungsliste wird angezeigt.
      2. Klicken Sie in der Spalte Status auf ein Element, um den Genehmigungsdatensatz zu öffnen.
        In „meine Genehmigungen“ ist die Spalte „angefordert in Status“ hervorgehoben.
      3. Klicken Sie im angezeigten Genehmigungsdatensatz auf Genehmigen Oder Ablehnen .
        Im Genehmigungsdatensatz sind die Schaltflächen Genehmigen und Ablehnen hervorgehoben.
        Nachdem Sie die Anforderung verarbeitet haben, kann die Ausführung des Workflows einige Minuten dauern. Im Datensatz oben wird eine Meldung angezeigt, wie in der folgenden Abbildung dargestellt, wenn die Transaktion länger als einige Sekunden dauert.
        Transaktionsverarbeitungsnachricht.

        Nach einigen Minuten ändert sich im angezeigten Genehmigungsdatensatz die Spalte Status von Angefordert Bis Genehmigt . Es sind keine zusätzlichen Genehmigungen erforderlich, um den Hostcomputer für diese Anforderung zu isolieren. Wenn die Anforderung abgelehnt wird, wird der Host nicht isoliert, und die Anforderung bleibt ausstehend. Wenn die Anforderung abgelehnt wird, müssen Sie als Anwender mit der Rolle „sn_si.Analyst“ eine neue Anforderung übermitteln, wenn Sie den Endpunkt trotzdem isolieren möchten.

        Unter meine Genehmigungen wird genehmigt in der Spalte Status angezeigt.

        Die Anforderung zum Isolieren des Hostcomputers in der obigen Abbildung wird genehmigt.

      4. Navigieren zu Security Incident > Incidents > Alle Incidents anzeigen Und klicken Sie in der Spalte Nummer auf einen Eintrag, um den Security Incident zu öffnen, mit dem Sie arbeiten.
        Zeigen Sie alle Incidents an, die im Navigationsbereich hervorgehoben sind.
        Für den Security Incident, der angezeigt wird, die Host Isolieren – Abgeschlossen ™Tag ersetzt Host Isolieren – Initiiert ™Tag. Der Host-Isolations-Workflow für dieses Beispiel ist erfolgreich.
        Beim Security Incident wurde das Sicherheits-Tag vom Host erfolgreich isoliert.
        Arbeitsnotizen zum Security Incident zeigen auch an, dass die Host-Isolierung abgeschlossen ist, und der Genehmiger Mary-Administrator ™, Ist aufgeführt.
        Protokollierung von Arbeitsnotizen, wenn Fähigkeitsaufgaben initiiert und erfolgreich abgeschlossen werden.
        Wichtig:
        Obwohl das Sicherheits-Tag und die Arbeitsnotizen zum Security Incident darauf hinweisen, dass ein erfolgreicher Workflow zum Isolieren des Hosts abgeschlossen ist, kehren Sie zu zurück McAfee ePO Konsole und verifizieren Sie, dass der Hostcomputer von Ihrem Netzwerk isoliert ist.

        Nachdem Sie Ihre Untersuchung des Assets abgeschlossen haben, starten Sie den Workflow „Isolierung entfernen“ aus der Host-Isolationseinträge ™Tabelle in Ihrem ServiceNow AI Platform® Instanz, um den Host an das Netzwerk zurückzugeben.

    8. Führen Sie die folgenden Schritte aus, um den Host aus der Quarantäne zu entfernen und an das Netzwerk zurückzugeben.
      1. Wenn McAfee ePO Die Tabelle „Hosteinträge isolieren“ wird nicht angezeigt. Navigieren Sie zu McAfee EPO-Integration > McAfee-EPO-Integration – Host-Einträge isolierenan.
        In der Tabelle „McAfee ePO – Hosteinträge isolieren“ die Statusspalte mit „isoliert“ hervorgehoben.
        Die Liste Host-Einträge isolieren wird angezeigt. Suchen Sie oben in der Liste in der Spalte Status nach dem Asset, das Sie isoliert haben.
      2. Klicken Sie in der Spalte „hinzugefügtes Datum“ auf das Element, um den Datensatz zu öffnen.
        Der Datensatz Host-Einträge isolieren wird angezeigt. In den Arbeitsnotizen wird ein Audit-Pfad für alle Aktionen angezeigt, die dem Security Incident zugeordnet sind. In der folgenden Abbildung ist der letzte Eintrag in den Arbeitsnotizen eine erfolgreiche Host-Isolierung. Das Datum, an dem die Quarantäne abgeschlossen wurde, wird im angezeigt Hinzugefügtes Datum Feld ( 2019-01-03 14:04:17 ).
        Isolieren Sie den Datensatz „Hosteinträge“.
      3. Klicken Sie Auf Entfernen Sie Die Isolierung Um den Workflow zu starten, um den Computer im Netzwerk wiederherzustellen.
        Der Datensatz Host-Eintrag isolieren wird angezeigt. Oben im Datensatz gibt eine Nachricht an, dass die Anforderung übermittelt wurde. Der Status ändert sich von Isoliert Bis Genehmigung Ausstehend , Und eine Arbeitsnotiz wird protokolliert. In diesem Fall hat der Systemadministrator angefordert, dass der Computer im Netzwerk wiederhergestellt wird.
        Isolieren Sie den Host-Eintragsdatensatz mit Nachrichten.
      4. Nachdem Sie über die Anforderung benachrichtigt wurden, navigieren Sie als Anwender mit Genehmigungsberechtigung für die Hostisolierung zu Meine Genehmigungen Öffnen Sie in Ihrer Instanz den Datensatz für die Anforderung zum Entfernen der Isolation.
      5. Klicken Sie Auf Genehmigen Um die Anforderung zu genehmigen und das Asset an das Netzwerk zurückzugeben.
        Alternativ können Sie auf klicken Ablehnen Um die Anforderung im Status „Genehmigung ausstehend“ zu behalten. Wenn eine Anforderung abgelehnt wird, muss eine neue Anforderung übermittelt werden, um den Host zu isolieren. Nachdem Sie die Anforderung zum Entfernen der Hostisolierung genehmigt haben, wird das Tag im Security Incident entfernt. Arbeitsnotizen erstellen einen Audit-Pfad für die Anforderung zum Entfernen der Isolation. In diesem Beispiel hat der Systemadministrator die Anforderung initiiert und genehmigt.
        Protokollierung von Arbeitsnotizen, wenn Fähigkeitsaufgaben initiiert und erfolgreich abgeschlossen werden.

        Das Sicherheits-Tag und die Arbeitsnotizen zum Security Incident zeigen an, dass der Workflow zum Entfernen der Hostisolierung erfolgreich abgeschlossen wurde. Um sicherzustellen, dass sich der Host wieder im Netzwerk befindet, kehren Sie zu zurück McAfee ePO Konsole und verifiziert, dass der Hostcomputer jetzt aktiv ist.

    9. Wählen Sie eine, um fortzufahren.
      OptionBeschreibung
      Zurück Kehren Sie zum Konfigurationsschritt für das Profil zurück. Wenn Sie mit den Test- und Vorschauergebnissen nicht zufrieden sind, konfigurieren Sie die Profileinstellungen weiter.
      Fertigstellen Schließen Sie die Konfiguration ab. Sie werden aufgefordert, die Aktivierung zu bestätigen.