Tester les incidents de sécurité et approuver les demandes pour l’hôte isolé

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • L’étape de test et d’aperçu vous permet de valider que les résultats du workflow d’isolation de l’hôte et de suppression de l’isolement de l’hôte sont renvoyés comme prévu pour le profil.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Au cours de cette étape de la configuration, en tant qu’utilisateur disposant du rôle sn_si.admin, vérifiez que le profil que vous avez configuré avec l’aptitude Isoler l’hôte renvoie les incidents de sécurité et les ID d’actifs correspondants comme prévu. Affichez les incidents de sécurité réels ServiceNow AI Platform Réponse aux incidents de sécurité (SIR) qui sont créés lorsque des conditions d’événement de sécurité correspondant aux paramètres de votre profil se produisent.

    Après l’envoi d’une demande d’isolement d’un ordinateur hôte, traitez-la en tant qu’utilisateur disposant d’un rôle d’approbateur.

    Procédure

    1. Si la page Tester l’incident n’est pas affichée, cliquez sur Tester l’incident dans la barre de progression.
      Page Tester l’incident d’un profil de fonctionnalité McAfee.
      La page Tester l’incident s’affiche pour votre profil. Pour cet exemple, le profil Isoler l’hôte™ que vous avez créé et configuré dans les sections précédentes s’affiche.
    2. À droite du champ supérieur, cliquez sur l’icône de recherche pour sélectionner l’incident de sécurité à prévisualiser.
      Symbole de recherche mis en surbrillance.
    3. Dans la colonne Nombre de la liste qui s’affiche, sélectionnez un élément que vous souhaitez afficher dans l’aperçu.

      Seuls les incidents de sécurité qui correspondent aux critères que vous avez définis pour le profil sont affichés.

      Liste des incidents de sécurité.
      Les incidents de sécurité sont affichés sur la page.
    4. Répétez les étapes 2 et 3 jusqu’à ce que tous les incidents que vous souhaitez prévisualiser s’affichent dans les champs.
      Sélectionnez jusqu’à cinq incidents de sécurité pour l’aperçu.
    5. Cliquez sur McAfee ePO Preview pour afficher les incidents de sécurité.
      Bouton Aperçu de McAfee ePO mis en surbrillance.
      Les incidents créés pour les conditions d’événement de sécurité qui correspondent à votre profil sont affichés dans des onglets.
      Remarque :
      Si vous quittez la page Incident de test à ce stade, vos incidents de sécurité sont effacés de ces champs.
      Incidents de sécurité affichés sur les onglets.
    6. Sélectionnez un onglet et, sur l’incident de sécurité, faites défiler pour afficher les notes de travail.
      Enregistrement des notes de travail lorsque les tâches d’option sont lancées et terminées avec succès.
      Pour cet exemple, SIR0010021 de l’image précédente est sélectionnée. La liste des notes de travail indiquant que le workflow d’isolement de l’hôte est lancé. Étant donné que l’option Exiger l’approbation est activée pour ce profil, les notes de travail indiquent que la demande est en attente d’approbation.

      Au-dessus de l’incident, la balise de sécurité indiquant que la demande est lancée (Isoler l’hôte - Initiée) est affichée.

      Incident de sécurité avec la balise Isoler l’hôte en file d’attente affichée.

      Vous avez localisé avec succès les incidents de sécurité qui correspondent à votre profil pour l’aptitude Isoler l’hôte et visualisé un incident de sécurité.

    7. Si vous êtes un utilisateur d’un groupe d’approbation, procédez comme suit pour traiter une demande.
      1. Accédez à Mes approbations dans votre instance.

        Pour cet exemple, le nom d’utilisateur de l’approbateur est Mary admin™.

        Module Mes approbations mis en surbrillance.
        La liste des approbations s’affiche.
      2. Dans la colonne État, cliquez sur un élément pour ouvrir l’enregistrement d’approbation.
        Dans Mes approbations, Demandé dans la colonne État mis en surbrillance.
      3. Dans l’enregistrement d’approbation qui s’affiche, cliquez sur Approuver ou Rejeter.
        Dans l’enregistrement d’approbation, les boutons Approuver et Rejeter sont mis en surbrillance.
        Une fois la demande traitée, l’exécution du workflow peut prendre quelques instants. Sur l’enregistrement en haut, un message s’affiche comme illustré dans la figure suivante si la transaction dure plus de quelques secondes.
        Message de traitement de la transaction.

        Après quelques instants, dans l’enregistrement d’approbation qui s’affiche, la colonne État passe de Demandé à Approuvé. Aucune approbation supplémentaire n’est requise pour isoler l’ordinateur hôte pour cette demande. Si la demande est rejetée, l’hôte n’est pas isolé et la demande reste en attente. En tant qu’utilisateur disposant du rôle sn_si.analyst, si la demande est rejetée, vous devez envoyer une nouvelle demande si vous souhaitez toujours isoler le point de terminaison.

        Dans Mes approbations, Approuvé s’affiche dans la colonne État.

        La demande d’isolement de l’ordinateur hôte dans la figure précédente est approuvée.

      4. Accédez à la Incident de sécurité > Incidents > Afficher les incidents et, dans la colonne Numéro, cliquez sur une entrée pour ouvrir l’incident de sécurité avec lequel vous travaillez.
        Afficher tous les incidents en surbrillance dans le panneau de navigation.
        Sur l’incident de sécurité qui s’affiche, la balise Isoler l’hôte - Terminé™ remplace la balise Isoler l’hôte - Initié™ . Le workflow d’isolation de l’hôte pour cet exemple est réussi.
        Lors d’un incident de sécurité, l’hôte a isolé la balise de sécurité avec succès.
        Les notes de travail sur l’incident de sécurité indiquent également que l’isolement de l’hôte est terminé et que l’approbateur, Mary admin™, est répertorié.
        Enregistrement des notes de travail lorsque les tâches d’option sont lancées et terminées avec succès.
        Important :
        Bien que la balise de sécurité et les notes de travail sur l’incident de sécurité indiquent qu’un workflow d’isolement de l’hôte est réussi, retournez à votre McAfee ePO console et vérifiez que la machine hôte est isolée de votre réseau.

        Une fois que vous avez terminé votre enquête sur l’actif, lancez le workflow Supprimer l’isolement à partir de la table Entrées d’isolement de l’hôte™ dans votre ServiceNow AI Platform® instance pour renvoyer l’hôte au réseau.

    8. Pour retirer l’hôte de la quarantaine et le renvoyer sur le réseau, procédez comme suit.
      1. Si la table Isoler les entrées de l’hôte n’est McAfee ePO pas affichée, accédez à Intégration McAfee epO > Intégration McAfee epO Isoler les entrées de l’hôte.
        Dans la table Isoler les entrées de l’hôte de McAfee ePO, la colonne État est mise en surbrillance.
        La liste Isoler les entrées de l’hôte s’affiche. En haut de la liste, dans la colonne État, recherchez l’actif que vous avez isolé.
      2. Dans la colonne Date d’ajout, cliquez sur l’élément pour ouvrir l’enregistrement.
        L’enregistrement Isoler les entrées de l’hôte s’affiche. Une piste d’audit pour toutes les actions associées à l’incident de sécurité est affichée dans les notes de travail. Dans la figure suivante, la dernière entrée des notes de travail est une isolation réussie de l’hôte. La date de fin de la quarantaine est affichée dans le champ Date d’ajout (03/01/2019 14:04:17).
        Enregistrement Isoler les entrées de l’hôte.
      3. Cliquez sur Supprimer l’isolation pour lancer le workflow de restauration de la machine sur le réseau.
        L’enregistrement Isoler l’entrée de l’hôte s’affiche. En haut de l’enregistrement, un message indique que la demande a été envoyée. L’état passe d’Isolé à En attente d’approbation, et une note de travail est consignée. Dans ce cas, l’administrateur système a demandé que la machine soit restaurée sur le réseau.
        Isoler l’enregistrement d’entrée de l’hôte avec des messages.
      4. Après avoir été notifié de la demande, en tant qu’utilisateur avec l’autorisation d’approbation pour l’isolement de l’hôte, accédez à Mes approbations dans votre instance et ouvrez l’enregistrement pour la demande de suppression d’isolement.
      5. Cliquez sur Approuver pour approuver la demande et renvoyer l’actif sur le réseau.
        Vous pouvez également cliquer sur Rejeter pour maintenir la demande dans l’état En attente d’approbation. Si une demande est rejetée, une nouvelle demande doit être soumise pour isoler l’hôte. Une fois que vous avez approuvé la demande de suppression de l’isolement de l’hôte, la balise de l’incident de sécurité est supprimée. Notes de travail Créez une piste d’audit pour la demande de suppression d’isolement. Pour cet exemple, l’administrateur système a initié et approuvé la demande.
        Enregistrement des notes de travail lorsque les tâches d’option sont lancées et terminées avec succès.

        La balise de sécurité et les notes de travail sur l’incident de sécurité indiquent que le workflow de suppression d’isolement de l’hôte est terminé avec succès. Pour vérifier que l’hôte est de retour sur le réseau, retournez à votre McAfee ePO console et vérifiez que l’ordinateur hôte est maintenant actif.

    9. Choisissez-en un pour continuer.
      OptionDescription
      Précédent Revenez à l’étape de configuration du profil. Si vous n’êtes pas satisfait des résultats du test et de l’aperçu, continuez à configurer les paramètres de profil.
      Terminer Terminez la configuration. Vous êtes invité à confirmer l’activation.