Configurer un profil pour lancer l’analyse anti-programme malveillant

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Après avoir créé un profil avec l’aptitude Lancer l’analyse anti-programme malveillant et toutes les autres McAfee ePO options que vous souhaitez que le profil exécute, configurez les paramètres du profil afin qu’il soit appelé dans les conditions spécifiques que vous définissez.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En tant qu’utilisateur disposant du rôle sn_si.admin, configurez le profil afin qu’il planifie une analyse uniquement lorsque les conditions que vous spécifiez sont remplies pour ServiceNow AI Platform Réponse aux incidents de sécurité les incidents de sécurité (SIR). Vous définissez les conditions des incidents de sécurité qui déclenchent l’analyse. Toutes les autres McAfee ePO options que vous sélectionnez pour le profil partagent les conditions de déclenchement. Vous pouvez sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI) et définir des conditions de filtrage. Vous préférez peut-être définir un filtrage afin que seuls les SIR incidents de sécurité liés à votre événement déclencheur invoquent automatiquement le profil.

    Comme pour l’action Isoler l’hôte, vous pouvez lancer une analyse à la demande directement à partir d’un SIR incident de sécurité. Pour plus d’informations sur le lancement manuel d’une analyse, reportez-vous à la section Déclencher McAfee ePO manuellement le profil à partir d’un incident de sécurité.

    Procédure

    1. Si la page Configuration ne s’affiche pas, cliquez sur Configuration dans la barre de progression.
      Formulaire de configuration pour lancer l’analyse anti-programme malveillant.
      Le formulaire Configuration s’affiche.
    2. Remplissez le formulaire.
      OptionDescription
      Activer un champ de déclenchement CI alternatif Champ de déclenchement d’autre élément de configuration (CI). Désactivé par défaut. Pour cet exemple, la case n’est pas cochée.

      Lorsque cette case n’est pas cochée et que l’option de champ de déclenchement CI alternatif est désactivée, aucun autre champ pour le CI n’est identifié. Si elle est désactivée, une valeur du champ CI doit être renseignée sur un SIR incident de sécurité, et la valeur du champ doit être reconnue par la McAfee ePO console avant l’exécution du profil.

      Lorsque cette case est cochée et que cette option est activée, la liste de choix du champ Autre déclencheur CI s’affiche. Choisissez n’importe quel champ de cette liste comme champ alternatif pour le CI.

      Pour plus d’informations sur le champ de déclenchement CI alternatif, reportez-vous aux sections Définir des conditions de déclenchement avec un champ d’élément de configuration (CI) et Créer un profil d’aptitude.
      Balises d'affichage Balises de sécurité sur les incidents de sécurité. Désactivé par défaut.

      Lorsque cette case est décochée et que l’option de balisage est désactivée, aucun nom de balise de sécurité n’est affiché sur l’incident de sécurité. Laissez cette case décochée si vous ne souhaitez pas que des balises de sécurité s’affichent sur les incidents de sécurité associés.

      Lorsque la case est cochée et que l’option de balisage est activée, les noms des balises de sécurité s’affichent sur le formulaire de configuration. Il s’agit des noms de balises affichés sur les incidents de sécurité associés.

      Les analyses anti-programmes malveillants peuvent être programmées en dehors des heures de travail et prendre du temps. Au-dessus de l’incident de sécurité, lorsque le balisage est activé, une balise de sécurité s’affiche pour indiquer que l’analyse est planifiée. Une fois l’analyse terminée, la balise programmée est automatiquement remplacée par une balise qui indique que l’analyse est terminée avec succès.

      Les noms et les couleurs des balises peuvent être modifiés. Pour plus d'informations, consultez Modifier les balises de sécurité dans le ServiceNow AI Platform pour l’intégration McAfee ePO.
      Déclenchement automatique basé sur l'incident Conditions de filtre. Désactivé par défaut.

      Lorsque la case est décochée et que l’option est désactivée, le profil ne lance pas automatiquement une analyse anti-programmes malveillants. Le profil doit être lancé manuellement à partir d’un incident de sécurité.

      Lorsque la case à cocher est sélectionnée et que l’option de déclenchement automatique est activée, le générateur de conditions de filtre s’affiche sur le formulaire. Vous devez définir les conditions de filtrage pour spécifier quand le profil s’exécute automatiquement lors de la création de l’incident.

      Pour cet exemple, les filtres pour la catégorie est Activité du code malveillant et Impact sur l’activité est 1 - Critique sont utilisés. Pour plus d’informations sur le créateur de conditions de filtre, reportez-vous à la section Créer un profil d’aptitude.
      Exiger l'approbation Requiert une approbation avant de lancer l’analyse. Désactivé par défaut.

      Lorsque la case est décochée et que l’option d’approbation est désactivée, un utilisateur disposant du rôle sn_si.analyst lance une analyse anti-programme malveillant sans demander d’approbation préalable.

      Cochez cette case et activez cette option si vous souhaitez qu’un utilisateur disposant du rôle sn_si.analyst demande l’approbation avant de lancer une analyse anti-programme malveillant.

      Pour cet exemple, les options d’approbation et de balisage sont activées pour le profil. Pour plus d’informations sur la configuration du champ Activer un autre champ de déclenchement CI et des options Déclenchement automatique en fonction de l’incident , reportez-vous à la section Configurer les profils et les incidents de sécurité pour les requêtes d’enrichissement du système.

    3. Choisissez une option pour continuer.
      OptionDescription
      Précédent Revenez à l’étape Nom si vous souhaitez modifier le profil.
      Enregistrer Enregistrez vos changements et restez sur cette page. Pour enregistrer vos modifications, dans la bannière grise en haut de l’écran, cliquez avec le bouton droit de la souris. Dans le menu qui s’affiche, cliquez sur Enregistrer.
      Continuer ou sélectionner Tester l’incident dans la barre de progression Passez à l’étape Tester l’incident et l’étape d’aperçu. Si vous quittez la page sans enregistrer au préalable vos modifications, vos modifications ne sont pas enregistrées.
      Supprimer Supprimez ce profil de la liste des profils d’aptitude McAfee ePO .
      Vous avez correctement configuré le profil afin qu’une analyse anti-programme malveillant se déclenche automatiquement lors de la création de l’incident. Un autre champ CI est utilisé pour renseigner les résultats CI correspondants de l’analyse. L’étape suivante consiste à prévisualiser et tester les incidents de sécurité pour ce profil.