Nachdem Sie ein Profil erstellt und die FireEye-Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt sind.

Sie können Auslöserbedingungen festlegen, damit das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in der Now Platform CMDB gespeicherten Informationen abzugleichen. Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird die CMDB durchsucht, um den Hostnamen und/oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname und oder die IP-Adresse werden verwendet, um die Agent-ID in aufzulösen FireEye HX Um den Endpunkt zu identifizieren.

Im Idealfall wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten werden aus gesammelt FireEye HX Konsole für das übereinstimmende Asset. Die Daten für verschiedene Fähigkeiten werden in abgerufen ServiceNow AI Platform Instanz und wird in den zugehörigen Listen eines Security Incidents angezeigt. Wenn das Feld Konfigurationselement (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, das entweder den Hostnamen oder die IP-Adresse enthält, um die Lösung der Agent-ID durchzuführen.

Während des Konfigurationsschritts des Profils können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt identifizieren können FireEye HX. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht für den zugehörigen Security Incident ausgefüllt ist.

Hinweis:

Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden können. Für alle zusätzlichen Aktionen wird das alternative CI auf der Seite mit den Standardeinstellungen ausgewählt.