Configurer les profils et les incidents de sécurité pour les requêtes d’enrichissement du système pour l’intégration McAfee ePO
Configurez les paramètres de votre profil afin que le profil se déclenche uniquement dans les conditions que vous définissez.
Avant de commencer
Rôle requis : Now Platform® administrateur d’incident de sécurité (sn_si.admin)
Pourquoi et quand exécuter cette tâche
Définissez les conditions qui déclenchent automatiquement les McAfee ePO options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI). Dans cet autre champ, vous pouvez définir des conditions de filtrage afin que seuls les incidents de sécurité liés à votre événement déclencheur déclenchent automatiquement le profil.
Procédure
-
Renseignez les champs du formulaire
Option Description Activer un champ de déclenchement CI alternatif Champ de déclenchement d’autre élément de configuration (CI). La valeur par défaut est effacée. Lorsque cette case est décochée et que l’option de champ de déclenchement CI alternatif est désactivée, un autre champ CI n’est pas identifié. Si cette option est désactivée, une valeur pour le champ CI doit être renseignée sur un SIR incident de sécurité et la valeur du champ doit être reconnue par la McAfee ePO console avant que le profil ne collecte les données d’enrichissement.
Cochez cette case si vous pensez que le champ CI ne sera pas renseigné lors de la création de l’incident, mais que les informations CI seront renseignées dans un autre champ de l’incident de sécurité. Lorsque cette option est activée, la liste de choix des champs de déclenchement CI alternatifs s’affiche. Choisissez un autre champ dans la liste de choix pour vérifier vos critères de recherche de CI.
Pour plus d’informations sur les champs de déclenchement CI alternatifs, reportez-vous à la section Définir des conditions de déclenchement avec un champ d’élément de configuration (CI) pour un McAfee ePO profil.
Balises d'affichage Les balises de sécurité sont affichées sur les incidents de sécurité. La valeur par défaut est effacée. Lorsque cette case est décochée et que l’option de marquage est désactivée, aucun nom de balise de sécurité n’est affiché sur le formulaire de configuration et les balises ne sont pas affichées sur les incidents de sécurité associés. Pour cet exemple, l’option balises de sécurité est désactivée.
Déclenchement automatique basé sur l'incident Conditions de filtre. La valeur par défaut est effacée. Lorsque la case est décochée et que l’option est désactivée, le profil doit être invoqué manuellement à partir d’un incident de sécurité.
Lorsque cette option est activée, le Créateur de conditions de filtre s’affiche. Vous devez définir les conditions de filtrage afin de spécifier quand le profil s’exécute automatiquement lors de la création d’un incident.
Un exemple courant de filtre pour un profil qui exécute des requêtes d’enrichissement est Catégorie est Activité de code malveillant et Impact sur l’entreprise est 1-Critique. Ces conditions de filtre vous aident à localiser les incidents liés à des types spécifiques d’événements de sécurité et vous aident à limiter le nombre d’incidents de sécurité que vous devez examiner.
Ces paramètres de filtre restent enregistrés jusqu’à ce que vous les changiez, et ils peuvent être modifiés pendant l’étape d’incident de prévisualisation et de test de la configuration.Exiger l'approbation Option d’approbation de la demande. La valeur par défaut est effacée. Cette option d’approbation est disponible pour tous les profils. En général, les approbations sont utilisées pour les options qui appellent des actions telles que l’isolement de l’hôte et les analyses de programmes malveillants.
Lorsque la case est décochée et que cette option est désactivée, aucune demande d’approbation n’est envoyée. Pour cet exemple, aucune autorisation préalable n’est requise pour les requêtes d’enrichissement du système.