Après avoir créé un profil et sélectionné les McAfee ePO options que vous souhaitez que le profil exécute, vous configurez les paramètres du profil afin qu’il ne s’exécute que lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir ces conditions de déclenchement afin que le profil s’exécute automatiquement en fonction des valeurs de champ par défaut qui sont mises en correspondance sur un ServiceNow AI Platform® Réponse aux incidents de sécurité incident de sécurité. Vous pouvez également configurer un profil pour qu’il recherche des correspondances avec les valeurs de champ que vous identifiez spécifiquement sur l’incident de sécurité.

L’une des clés de la fonctionnalité de l’intégration et du fonctionnement d’un profil est le champ Élément de configuration (CI) sur l’incident ServiceNow AI Platform® Réponse aux incidents de sécurité de sécurité (SIR). La valeur de ce champ est la valeur principale pour un incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans la ServiceNow AI Platform® base de données. Lorsqu’un SIR incident de sécurité est créé par un événement de sécurité et qu’un profil est activé, vos actifs sont analysés à la recherche d’une valeur correspondante pour un nom de domaine complet (FQDN), un nom d’hôte ou une adresse IP en fonction de la valeur du champ Élément de configuration.

Dans l’idéal, une valeur correspondante est trouvée dans la base de données, et les données peuvent être collectées à partir de la McAfee ePO console pour l’actif correspondant, extraites dans votre ServiceNow AI Platform® instance et affichées dans les listes connexes d’un incident de sécurité. La figure suivante illustre un exemple de champ Élément de configuration renseigné avec un nom d’hôte sur un SIR incident de sécurité.

Si le champ Élément de configuration (CI) de l’incident de sécurité n’est pas renseigné, ou si une correspondance ne peut être trouvée pour un nom de domaine complet, un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données d’enrichissement de CI correspondantes trouvées lors de l’analyse de vos actifs.

Au cours de l’étape de configuration du profil, vous pouvez sélectionner un autre champ de déclenchement CI pour l’identification du point de terminaison afin de vous assurer que les données d’enrichissement CI de la McAfee ePO recherche sont renseignées sur l’incident de sécurité associé. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant cet autre champ CI comme sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné sur l’incident de sécurité associé lors de la création de l’incident.

Par exemple, en tant qu’analyste du centre des opérations de sécurité (SOC), vous créez un champ personnalisé pour un incident de sécurité appelé Adresse IP sur mon incident de sécurité. Si vous pensez que la valeur de ce champ personnalisé ne sera pas affichée dans le champ Élément de configuration de l’incident de sécurité lors de la création de l’incident, vous pouvez configurer le profil pour qu’il recherche cette adresse IP. En cas de correspondance, l’adresse IP est affichée sur l’incident de sécurité dans le champ de votre choix. Dans la figure suivante, le champ CI identifié est sélectionné comme champ alternatif pour l’adresse IP pour cet exemple.

La figure suivante illustre comment la première recherche du workflow recherche des correspondances pour les éléments de configuration. Si le champ de déclenchement CI alternatif est activé, la deuxième recherche recherche les correspondances entre les valeurs alternatives.

Si aucun ID correspondant n’est trouvé pour le champ CI ou l’autre champ CI, une note de travail est journalisée et un message s’affiche sur l’incident de sécurité. Lorsqu’aucune correspondance n’est trouvée, aucune donnée d’enrichissement n’est renseignée sur les incidents de sécurité liés à l’événement.

Vous activez le champ de déclenchement CI alternatif et sélectionnez le champ pour lequel vous souhaitez afficher l’ID correspondant pendant l’étape de configuration d’un profil. Cette étape d’activation du champ CI alternatif est décrite ainsi que les autres exigences de configuration de profil dans Configurer les paramètres.