マルウェアスキャンを開始するセキュリティインシデントのテスト
マルウェアスキャン用のプロファイルを構成したら、プロファイルをテストして、プロファイルの設定に一致するセキュリティインシデントを確認します。ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントの関連リストでスキャンの結果をプレビューします。
始める前に
必要なロール:sn_si.admin
このタスクについて
sn_si.admin ロールを持つユーザーとして、マルウェアスキャン機能を持つプロファイルが呼び出され、スキャン検索結果が ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントの関連リストのプレビューで想定されているものと一致していることを確認します。プレビューすることで、スキャンの結果がプロファイルに対して期待どおりに返されることを検証できます。
手順
-
[インシデントのテスト] ページが表示されない場合は、進捗状況バーの [インシデントのテスト] をクリックします。
プロファイルの [インシデントのテスト] ページが表示されます。この例では、前のセクションで作成して構成した [マルウェアスキャンを開始 (Initiate Malware Scan)] プロファイルが表示されます。
-
一番上のフィールドの右側にある検索アイコンをクリックして、プレビューに表示するセキュリティインシデントを選択します。
プロファイル基準に一致するセキュリティインシデントのみが表示されます。
-
表示されるリストの [番号] 列で、プレビューに表示するアイテムを選択します。
セキュリティインシデント番号がフィールドに表示されます。
-
[McAfee EPO プレビュー] をクリックします。
プロファイルのイベント条件に一致するセキュリティインシデントが表示されます。ページがロードされると、ページの下部に各セキュリティインシデントのタブが表示されます。
-
スクロールして作業メモを表示します。
注:脅威イベントのリスト表示 (List Threat Events) ワークフローはスキャンの一部です。マルウェアスキャン機能のプロファイルを作成する方法の詳細については、「機能プロファイルの作成」を参照してください。ネットワーク上のユーザーへの影響を最小限に抑えるため、ピーク作業時間の後にスキャンが実行されるようにスケジュール設定されることがあります。またスキャンがすぐに完了しない場合があります。そのような場合は、セキュリティインシデントの上部に、スキャンがスケジュールされていることを示すセキュリティタグが表示されます。ワークフローのステータスについては作業メモを参照してください。作業メモに、ワークフローが開始された日時と正常に完了した日時が一覧表示されます。この例では、スキャンが開始されて正常に完了したことが次の図の作業メモで示されています。脅威イベントのリスト表示 (List Threat Events) 機能もスキャンの一部として開始され、正常に完了しました。次の図は、関連するセキュリティインシデントのセキュリティタグの例を示しています。
セキュリティインシデントでスキャンが正常に完了すると、スケジュール設定済みのタグが完了タグに自動的に置き換わります。
-
スキャンが正常に完了したことを確認したら、セキュリティインシデントでスクロールして [関連リンク] を表示し、[すべての関連リストを表示] をクリックします。
[脅威イベントの結果] および [脅威イベントの詳細] リストがタブとして表示されます。
-
[脅威イベントの詳細] リストが選択されていない場合は、選択して結果を表示します。
-
[ソース] 列のアイテムをクリックしてレコードを開き、拡張データを表示します。
拡張データには次の情報が含まれます。
- スキャン中に一致した CI フィールド値。
- 前回のチェックイン日とタイムゾーン。このデータは、最新のデータが McAfee ePO コンソールから取得された現地時間を指します。
- 生データ
このプロファイルに設定した自動トリガー基準に一致するセキュリティインシデントのスキャンワークフローが正常に完了したことを確認しました。