Déclencher McAfee ePO manuellement le profil à partir d’un incident de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Déclenchez manuellement un profil d’aptitude à partir d’un ServiceNow AI Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

    Avant de commencer

    Rôle requis : sn_si.admin

    Remarque :
    L’option d’approbation dans le s’affiche uniquement pour les options Isoler l’hôte et Supprimer l’isolement de l’hôte Configurer les paramètres .

    Pourquoi et quand exécuter cette tâche

    Vous pouvez appeler automatiquement une demande pour obtenir les détails de l’hôte, isoler l’ordinateur hôte ou supprimer l’isolement d’un ordinateur si les conditions de déclenchement que vous spécifiez dans le profil correspondent aux conditions des incidents de sécurité. Si vous souhaitez soumettre une demande manuellement, vous pouvez également la soumettre directement à partir d’un incident de sécurité.

    Une fois que vous avez activé le profil, en fonction des conditions de déclenchement configurées, vous pouvez afficher les résultats de la requête dans les ServiceNow AI Platform incidents de sécurité. McAfee ePO Les intégrations vous permettent également d’exécuter des options individuelles sur des éléments de configuration (CI) sans utiliser de profil.

    Procédure

    1. Accédez à la Tous > Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner avec les McAfee ePO informations.
    3. Dans la section des listes connexes, sélectionnez Exécuter le(s) profil(s) EDR.
      Figure 1. McAfee : exécuter le profil PEPT
      Déclencher manuellement un profil à partir d’un incident de sécurité
    4. Parcourez et sélectionnez un profil dans la liste des profils disponibles.
      Les profils disponibles sont les suivants : Obtenir les détails de l’hôte, Isoler l’ordinateur hôte et Supprimer l’isolement. Par exemple, nous allons sélectionner Obtenir les détails de l’hôte.
    5. Sélectionnez Inclure le CI connexe pour exécuter ce profil sur tous les CI associés du profil.
      Par exemple, si cinq CI sont associés à l’incident de sécurité, le profil sélectionné s’exécute sur les cinq CI.
    6. Cliquez sur Envoyer.
      Le profil sélectionné est déclenché manuellement. Vous pouvez consulter la section Notes de travail et activités ainsi que les balises initiées et terminées par le profil dans la section Notes de travail.
      Figure 2. Notes de travail pour l’activité d’automatisation
      Enregistrement des notes de travail lorsque les tâches d’aptitude sont lancées et terminées avec succès
      Les résultats s’affichent sous la forme de listes connexes telles que Obtenir les détails de l’hôte, Isoler l’ordinateur hôte ou Supprimer l’isolement.
      Remarque :
      Toutes les tables de listes connexes étendent les tables de base. Dans cet exemple, les détails du système McAfee ePO sont une table étendue de la table de base Détails de l’hôte.
      Figure 3. Listes connexes de McAfee
      Consultez la liste connexe pour plus de détails.
    7. Pour exécuter des options individuelles sur un élément de configuration (CI), procédez comme suit :
      1. Dans la liste connexe Éléments de configuration, sélectionnez le CI requis.
      2. Cliquez sur la liste déroulante Actions sur les lignes sélectionnées... et sélectionnez l’option requise que vous souhaitez exécuter pour le CI sélectionné.
        Par exemple, Isoler l’hôte.
      3. Cliquez sur Isoler l’hôte pour l’exécuter sur le CI sélectionné.
        Le CI sélectionné est isolé du réseau.