Configuration d’un profil

Au cours de cette étape, vous configurez un profil d’aptitude afin qu’il ne s’exécute que lorsque les conditions que vous spécifiez sont remplies. Vous définissez les conditions des incidents de sécurité qui déclenchent automatiquement les McAfee ePO options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI) et définir des conditions de filtrage afin que seuls les incidents de sécurité liés à votre événement déclencheur lancent automatiquement le profil. L’étape de configuration comprend les paramètres suivants sur le formulaire de configuration du profil.

Champ de déclenchement d’un autre élément de configuration (CI)

Si le champ Élément de configuration (CI) de l’incident de sécurité () n’est Now Platform® Réponse aux incidents de sécuritéSIRpas renseigné avec une valeur, ou si une correspondance est introuvable dans la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toute donnée d’enrichissement de CI correspondante trouvée lors de l’analyse de vos actifs. Pour plus d’informations sur les champs Élément de configuration et Autre élément de configuration dans un incident de sécurité, reportez-vous à la section Définir des conditions de déclenchement avec un champ d’élément de configuration (CI) pour un McAfee ePO profil.

Balises de sécurité

Pour vous aider à suivre l’état des ordinateurs hôtes isolés et le moment où des analyses de programmes malveillants sont lancées, une fonctionnalité de balisage facultative est disponible. Par défaut, cette option est désactivée dans le formulaire de configuration des profils. Si cette option est activée lors de l’étape de configuration, les noms des balises de sécurité sont affichés sur le formulaire de configuration. Il s’agit des noms des balises qui s’affichent dans les incidents de sécurité associés. Ces balises vous informent lorsqu’une action d’isolement de l’hôte est initiée avec succès et lorsqu’elle est approuvée. Une fois qu’un hôte est renvoyé avec succès au réseau, la balise de sécurité est automatiquement supprimée de l’incident de sécurité. Pour les analyses de programmes malveillants, une balise s’affiche sur l’incident de sécurité connexe lorsqu’une analyse est planifiée. Une fois l’analyse terminée, la balise planifiée est automatiquement remplacée par une balise qui indique que l’analyse est terminée avec succès.

Déclenchement automatique basé sur l’incident

Lorsque l’option Déclenchement automatique basé sur l’incident est activée, le créateur de conditions de filtre est disponible et vous devez définir des conditions de filtrage qui spécifient quand le profil s’exécute automatiquement. Les filtres courants sont Catégorie : activité de code malveillant™ et Impact sur l’entreprise est 1 - Critique™. Avec ces filtres, seuls les incidents de sécurité associés à un code malveillant et ayant un impact critique sur l’entreprise lancent le profil. L’utilisation de l’option Déclenchement automatique peut réduire le nombre d’incidents de sécurité qui invoquent automatiquement le profil.

Approbations

Si votre organisation souhaite un niveau de contrôle supplémentaire sur des actions telles que l’isolement des ordinateurs hôtes et le lancement d’analyses de programmes malveillants, vous pouvez activer l’option Exiger l’approbation pendant l’étape de configuration d’un profil.

Par exemple, si les fonctionnalités d’approbation et de balisage sont activées pour un profil, après qu’une demande d’isolement d’un ordinateur hôte ou de retour sur le réseau est soumise pour approbation, l’incident de sécurité associé est automatiquement balisé et l’action est initiée. Les demandes sont envoyées pour approbation à un utilisateur ayant le rôle sn_si.admin par défaut, mais cette approbation peut être réaffectée à une autre personne ou à un groupe d’approbation pour répondre aux besoins de votre organisation. Les approbateurs traitent les demandes dans Mes approbations au sein de leurs Now Platform® instances. Les balises de sécurité sont affichées sur les incidents de sécurité associés. Toutes les activités du workflow sont également enregistrées dans des notes de travail pour créer une piste d’audit.

ServiceNow Journal d’audit dans la McAfee ePO console

Dans la version 5.10.0 de , un ServiceNow onglet s’affiche McAfee ePOavec un journal des commandes qui sont lancées à partir de votre Now Platform® instance. Une fois qu’une action ou une requête est appelée à partir d’un profil dans votre Now Platform® instance sur un ordinateur hôte (point de terminaison) dans la McAfee ePO console, un journal d’audit des ServiceNow commandes est créé dans la McAfee ePO console. Ce journal s’affiche dans l’arborescence système de la McAfee ePO console et vous aide à vérifier les heures des commandes envoyées à des points de terminaison spécifiques. Pour afficher les événements consignés ServiceNow sur des ordinateurs spécifiques dans une McAfee ePO console, procédez comme suit.

1. Accédez à l’arborescence du système dans votre McAfee ePO console et localisez l’onglet ServiceNow .
2. Cliquez sur l’onglet pour ouvrir une liste d’ordinateurs hôtes.
3. Dans la colonne Nom, cliquez sur un nom d’hôte pour ouvrir le journal d’audit.

L’image suivante montre un exemple de journal pour un hôte (PODCLIENT1).

Les événements initiés à partir des profils de votre Now Platform® instance sont enregistrés et affichés dans le journal. Vérifiez en vérifiant l’état de l’ordinateur hôte que les événements répertoriés dans le journal sont effectués avec succès sur l’hôte.

Exemples de profils

Les rubriques suivantes comprennent des exemples sur la façon de configurer les profils et de tester les incidents de sécurité. Ces exemples incluent des McAfee ePO profils pour toutes les options disponibles pour cette intégration.