Auslöserbedingungen in einem Konfigurationselement

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 1 Minute Lesedauer

    • Nachdem Sie ein Profil erstellt und ausgewählt haben Microsoft Defender for Endpoint Fähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass das Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist.

    So lösen Sie Bedingungen in einem Konfigurationselement aus

    Sie können Auslöserbedingungen festlegen, damit das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

    Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in gespeicherten Informationen abzugleichen ServiceNow AI Platform Configuration Management Database (CMDB). Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird der verwendet CMDB Wird gesucht, um den Hostnamen oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname oder die IP-Adresse wird verwendet, um die Agent-ID in aufzulösen Microsoft Defender for Endpoint Um den Endpunkt zu identifizieren.

    In einem idealen Szenario wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten werden aus dem gesammelt Microsoft Defender for Endpoint Konsole für das übereinstimmende Asset. Die Daten für verschiedene Fähigkeiten werden in abgerufen ServiceNow AI Platform Configuration Management Database (CMDB) Instanz und wird in den zugehörigen Listen eines Security Incidents angezeigt. Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen mit oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, das entweder den Hostnamen oder die IP-Adresse enthält, um die Lösung der Agent-ID durchzuführen.

    Während des Konfigurationsschritts des Profils können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt auf identifizieren können Microsoft Defender for Endpoint. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht für den zugehörigen Security Incident ausgefüllt ist.

    Hinweis:
    Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden können. Diese Fähigkeiten umfassen Hostdetails abrufen, angemeldete Anwender abrufen, Host isolieren und Isolierung entfernen. Für alle zusätzlichen Aktionen muss das alternative CI im Modul „Standardeinstellungen“ konfiguriert werden.