통합을 위한 McAfee ePO 프로파일 구성

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기3분

    • 프로필을 만들고 프로필을 실행할 기능을 선택한 McAfee ePO 후 정의한 특정 조건에서만 프로필이 호출되도록 설정을 구성합니다.

    프로파일 구성

    이 단계에서는 지정한 조건이 충족되는 경우에만 실행되도록 역량 프로파일을 구성합니다. 프로파일에 대해 선택한 기능을 자동으로 트리거 McAfee ePO 하는 보안 인시던트의 조건을 정의합니다. 또한 CI(구성 항목) 필드에 대한 대체 입력 필드를 선택하고 필터링 조건을 설정하여 트리거 이벤트와 관련된 보안 인시던트만 프로파일을 자동으로 시작하도록 할 수 있습니다. 구성 단계에서는 프로파일의 구성 양식에 다음 설정을 포함합니다.

    대체 구성 항목(CI) 트리거 필드

    (SIR) 보안 인시던트의 Now Platform® 보안 인시던트 응답 CI(구성 항목) 필드가 값으로 채워지지 않았거나 데이터베이스에서 일치하는 항목을 찾을 수 없는 경우 보안 인시던트에서 대체 필드를 선택하여 자산 스캔 중에 발견된 일치하는 CI 보강 데이터를 표시할 수 있습니다. 보안 인시던트의 구성 항목 및 대체 구성 항목 필드에 대한 자세한 내용은 다음 문서를 참조하십시오 프로파일에 대한 McAfee ePO CI(구성 항목) 필드를 사용하여 트리거 조건 정의.

    보안 태그

    격리된 호스트 시스템의 상태와 맬웨어 검사가 시작되는 시기를 추적하는 데 도움이 되도록 선택적 태그 지정 기능을 사용할 수 있습니다. 기본적으로 이 옵션은 프로파일의 구성 양식에서 사용할 수 없습니다. 구성 단계에서 이 옵션을 사용하도록 설정하면 구성 양식에 보안 태그 이름이 표시됩니다. 관련 보안 인시던트에 표시되는 태그의 이름입니다. 이러한 태그는 호스트 분리 작업이 성공적으로 시작되고 승인되는 시기를 알려줍니다. 호스트가 네트워크에 성공적으로 반환되면 보안 태그가 보안 인시던트에서 자동으로 제거됩니다. 맬웨어 검사의 경우 검사가 예약되면 관련 보안 인시던트에 태그가 표시됩니다. 스캔이 완료되면 예약된 태그는 스캔이 성공적으로 완료되었음을 나타내는 태그로 자동 대체됩니다.

    인시던트를 기반으로 자동 트리거

    인시던트를 기반으로 자동 트리거 옵션을 사용하는 경우 필터 조건 작성기를 사용할 수 있으며 프로파일이 자동으로 실행되는 시기를 지정하는 필터링 조건을 설정해야 합니다. 일반적인 필터는 범주는 악성 코드 활동이고™비즈니스 영향은 1 - 중요입니다™. 이러한 필터를 사용하면 악성 코드와 관련이 있으며 비즈니스에 중대한 영향을 미치는 보안 인시던트만 프로파일을 시작합니다. 자동 트리거 옵션을 사용하면 프로파일을 자동으로 호출하는 보안 인시던트 수를 줄일 수 있습니다.

    승인

    조직에서 호스트 컴퓨터 격리 및 맬웨어 검사 시작과 같은 작업에 대한 추가 제어 수준을 원하는 경우 프로파일의 구성 단계에서 승인 필요 옵션을 활성화할 수 있습니다.

    예를 들어 프로파일에 승인 및 태그 지정 기능이 모두 활성화된 경우 호스트 시스템을 격리하거나 승인을 위해 네트워크로 반환하는 요청이 제출되면 작업이 시작되었음을 알리는 태그가 연결된 보안 인시던트에 자동으로 지정됩니다. 요청은 기본적으로 sn_si.admin 역할을 가진 사용자에게 승인을 위해 전송되지만 이 승인은 조직의 필요에 맞게 다른 개인 또는 승인 그룹에 재할당할 수 있습니다. 승인자는 인스턴스의 Now Platform®내 승인에서 요청을 처리합니다. 관련 보안 인시던트에 보안 태그가 표시됩니다. 감사 추적을 생성하기 위해 모든 워크플로우 활동도 작업 메모에 기록됩니다.

    ServiceNow 콘솔의 McAfee ePO 감사 로그

    버전 5.10.0 McAfee ePOServiceNow 에서는 인스턴스에서 시작된 Now Platform® 명령 로그가 포함된 탭이 표시됩니다. 콘솔의 호스트 머신(엔드포인트)McAfee ePO에 있는 인스턴스의 프로파일 Now Platform® 에서 작업 또는 쿼리를 호출한 후 콘솔에 명령의 감사 로그 ServiceNow 가 생성됩니다McAfee ePO. 이 로그는 콘솔의 McAfee ePO 시스템 트리에 표시되며 특정 엔드포인트로 전송된 명령의 시간을 감사하는 데 도움이 됩니다. 콘솔의 McAfee ePO 특정 머신에 기록된 ServiceNow 이벤트를 보려면 다음 단계를 수행합니다.

    1. 콘솔에서 시스템 트리 McAfee ePO 로 이동하여 탭을 찾습니다 ServiceNow .
    2. 탭을 클릭하여 호스트 시스템 목록을 엽니다.
    3. 이름 열에서 호스트 이름을 클릭하여 감사 로그를 엽니다.

    다음 이미지에는 호스트(PODCLIENT1)에 대한 로그의 예가 표시되어 있습니다.

    그림 1. 포드클리언트
    ePO 콘솔의 시스템 트리

    인스턴스의 프로파일 Now Platform® 에서 시작된 이벤트가 기록되고 로그에 표시됩니다. 호스트 시스템의 상태를 확인하여 로그에 나열된 이벤트가 호스트에서 성공적으로 완료되었는지 확인합니다.

    예시 프로파일

    다음 주제에는 프로파일을 구성하고 보안 인시던트를 테스트하는 방법에 대한 예가 포함되어 있습니다. 이러한 예에는 이 통합에 사용할 수 있는 모든 McAfee ePO 역량에 대한 프로파일이 포함되어 있습니다.