Nachdem Sie ein Profil erstellt und die McAfee ePO -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Einstellungen des Profils so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist.

Sie können diese Auslösebedingungen flexibel festlegen, sodass das Profil automatisch basierend auf den Standardfeldwerten ausgeführt wird, die mit einem Security Incident Now Platform® Security Incident Response übereinstimmen. Alternativ können Sie ein Profil einrichten, damit nach Übereinstimmungen in Feldwerten gesucht wird, die Sie speziell im Security Incident identifizieren.

Einer der Schlüssel zur Funktionalität der Integration und zur Funktionsweise eines Profils ist das Feld Configuration Item (CI) im Security Incident Now Platform® Security Incident Response (SIR). Der Wert dieses Felds ist der Prinzipalwert für einen Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in der -Datenbank Now Platform® gespeicherten Informationen abzugleichen. Wenn ein Security Incident SIR von einem Sicherheitsereignis erstellt wird und ein Profil aktiviert ist, werden Ihre Assets nach einem übereinstimmenden Wert für einen vollqualifizierten Domänennamen (FQDN), einen Hostnamen oder eine IP-Adresse basierend auf dem Wert durchsucht Feld Konfigurationselement.

Im Idealfall wird ein übereinstimmender Wert in der Datenbank gefunden, und in der Konsole McAfee ePO können Daten für das passende Asset gesammelt, in Ihre Instanz Now Platform® abgerufen und in den zugehörigen Listen eines Security Incident angezeigt werden. Die folgende Abbildung zeigt ein Beispiel für das Feld Konfigurationselement, das mit einem Hostnamen für einen Security Incident SIR gefüllt ist.

In Fällen, in denen das Feld Configuration Item (CI) im Security Incident nicht ausgefüllt ist oder keine Übereinstimmung für einen FQDN, keinen Hostnamen oder keine IP-Adresse gefunden werden kann, die der Datenbank entspricht, können Sie ein alternatives Feld in der Sicherheit auswählen Incident, um alle übereinstimmenden CI-Ergänzungsdaten anzuzeigen, die bei der Prüfung Ihrer Assets gefunden wurden.

Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Anreicherungsdaten aus der Suche McAfee ePO für den zugeordneten Security Incident ausgefüllt werden. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Durch Auswahl dieses alternativen CI-Felds als Sicherung stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung im zugehörigen Security Incident nicht ausgefüllt wird.

Beispiel: Als SOC-Analyst (Security Operations Center) erstellen Sie ein anwenderdefiniertes Feld für einen Security Incident mit der Bezeichnung IP-Adresse für meinen Security Incident. Wenn Sie nicht möchten, dass der Wert dieses anwenderdefinierten Felds bei der Incident-Erstellung im Feld „Konfigurationselement“ des Security Incident angezeigt wird, können Sie das Profil so einrichten, dass nach dieser IP-Adresse gesucht wird. Bei Übereinstimmung wird die IP-Adresse für den Security Incident im Feld Ihrer Wahl angezeigt. In der folgenden Abbildung ist für dieses Beispiel das Feld Identifiziertes CI als alternatives Feld für die IP-Adresse ausgewählt.

Die folgende Abbildung zeigt, wie die erste Suche des Workflows nach Übereinstimmungen für Configuration Items sucht. Wenn das Feld Alternativer CI-Auslöser aktiviert ist, sucht die zweite Suche nach Übereinstimmungen für alternative Werte.

Wenn für das CI-Feld oder das alternative CI-Feld keine übereinstimmenden IDs gefunden werden, wird eine Arbeitsnotiz protokolliert und eine Nachricht zum Security Incident angezeigt. Wenn keine Übereinstimmungen gefunden werden, werden für die Security Incidents, die sich auf das Ereignis beziehen, keine Ergänzungsdaten eingetragen.

Sie aktivieren das alternative CI-Auslöserfeld und wählen das Feld aus, in dem Sie die entsprechende ID während des Konfigurationsschritts für ein Profil anzeigen möchten. Dieser Schritt zum Aktivieren des alternativen CI-Felds ist zusammen mit den anderen Profilkonfigurationsanforderungen in Profile für die Integration McAfee ePO werden konfiguriertbeschrieben.