Tester les incidents de sécurité pour lancer l’analyse anti-programme malveillant

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Après avoir configuré un profil pour l’analyse anti-programme malveillant, testez-le et affichez les incidents de sécurité qui correspondent aux paramètres de votre profil. Prévisualisez les résultats de l’analyse sur les listes connexes d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    En tant qu’utilisateur disposant du rôle sn_si.admin, vérifiez que le profil avec l’option d’analyse anti-programme malveillant est invoqué et que les résultats de la recherche d’analyse correspondent à ce qui est attendu avec un aperçu des listes connexes sur un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR). L’aperçu vous permet de valider le fait que les résultats de l’analyse sont renvoyés comme prévu pour le profil.

    Procédure

    1. Si la page Tester l’incident n’est pas affichée, cliquez sur Tester l’incident dans la barre de progression.
      La page Tester l’incident s’affiche pour votre profil. Pour cet exemple, le profil Lancer l’analyse anti-programme malveillant que vous avez créé et configuré dans les sections précédentes s’affiche.
      Page Tester l’incident d’un profil de fonctionnalité McAfee.
    2. À droite du champ supérieur, cliquez sur l’icône de recherche pour sélectionner un incident de sécurité à afficher dans l’aperçu.
      Symbole de recherche mis en surbrillance.

      Seuls les incidents de sécurité qui correspondent aux critères de profil sont affichés.

    3. Dans la colonne Nombre de la liste qui s’affiche, sélectionnez un élément que vous souhaitez afficher dans l’aperçu.
      Liste des incidents de sécurité.
      Le numéro de l’incident de sécurité est affiché dans le champ.
      Numéro d’incident de sécurité affiché dans le champ de recherche.
    4. Répétez les étapes 2 et 3 jusqu’à ce que tous les incidents que vous souhaitez prévisualiser s’affichent dans les champs.
      Sélectionnez jusqu’à cinq incidents de sécurité pour l’aperçu.
    5. Cliquez sur Aperçu de McAfee ePO.
      Bouton Aperçu de McAfee ePO mis en surbrillance.
      Les incidents de sécurité qui correspondent aux conditions d’événement de votre profil s’affichent. Une fois la page chargée, en bas de la page, des onglets sont affichés pour chaque incident de sécurité.
      Incident de sécurité affiché sur l’onglet.
    6. Faites défiler pour afficher les notes de travail.
      Remarque :
      Le workflow de la liste des événements de menace fait partie de l’analyse. Pour en savoir plus sur la création d’un profil avec l’option d’analyse anti-programme malveillant, reportez-vous à la section Créer un profil d’aptitude.
      Enregistrement des notes de travail lorsque les tâches d’option sont lancées et terminées avec succès.
      Les analyses sont parfois programmées pour s’exécuter après les heures de pointe afin de minimiser leur impact sur les utilisateurs du réseau. L’analyse peut ne pas se terminer immédiatement. Dans ce cas, en haut de l’incident de sécurité, une balise de sécurité est affichée indiquant que l’analyse est planifiée. Reportez-vous aux notes de travail pour connaître l’état du workflow. Les notes de travail indiquent une fois les workflows démarrés et terminés. Pour cet exemple, les notes de travail de la figure suivante montrent que l’analyse a démarré et qu’elle s’est terminée avec succès. L’aptitude Répertorier les événements de menace a également été démarrée et terminée avec succès dans le cadre de l’analyse.
      La figure suivante montre un exemple de balise de sécurité sur l’incident de sécurité connexe.
      Lors d’un incident de sécurité, balise de sécurité McAfee ePO Scan planifiée.

      Lors de l’incident de sécurité, une fois l’analyse terminée, la balise planifiée est automatiquement remplacée par la balise terminée.

      Lors d’un incident de sécurité, balise de sécurité McAfee ePO Scan terminée.
    7. Après avoir vérifié que l’analyse est terminée avec succès, sur l’incident de sécurité, faites défiler pour afficher les liens connexes et cliquez sur Afficher toutes les listes connexes.
      Lien Afficher toutes les listes connexes mis en surbrillance.
      Les résultats de l’événement de menace et les détails de l’événement de menace s’affichent sous forme d’onglets.
    8. Si la liste Détails de l’événement de menace n’est pas sélectionnée, sélectionnez-la pour afficher les résultats.
      Onglet Résultats de l’événement de menace avec les résultats sélectionnés.
    9. Cliquez sur un élément dans la colonne Source pour ouvrir un enregistrement et afficher les données d’enrichissement.
      Enregistrement du résultat de l’événement de menace.
      Les données d’enrichissement incluent les informations suivantes.
      • Valeur du champ CI qui a été mise en correspondance pendant l’analyse.
      • Dernière date d’enregistrement avec le fuseau horaire. Ces données font référence au moment où, en heure locale, les données les plus récentes ont été extraites de la McAfee ePO console.
      • Données brutes

      Vous avez vérifié avec succès que le workflow d’analyse s’est terminé correctement pour les incidents de sécurité qui correspondent aux critères de déclenchement automatique que vous avez définis pour ce profil.

    10. Choisissez-en un pour continuer.
      OptionDescription
      Précédent Revenez à l’étape de configuration du profil. Si vous n’êtes pas satisfait des résultats du test et de l’aperçu, continuez à configurer les paramètres de profil.
      Terminer Terminez la configuration. Vous êtes invité à confirmer l’activation.