Konfigurieren eines Profils

In diesem Schritt konfigurieren Sie ein Fähigkeitsprofil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Sie definieren, welche Bedingungen für Security Incidents automatisch auslösen McAfee ePO Fähigkeiten, die Sie für das Profil ausgewählt haben. Sie haben auch die Möglichkeit, ein alternatives Eingabefeld für das Feld Configuration Item (CI) auszuwählen und Filterbedingungen festzulegen, damit nur die Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, das Profil automatisch starten. Der Konfigurationsschritt enthält die folgenden Einstellungen im Konfigurationsformular für das Profil.

Auslöserfeld für alternatives Konfigurationselement (CI)

In Fällen, in denen das Feld Configuration Item (CI) auf der angezeigt wird ServiceNow AI Platform® Security Incident Response( SIR) Security Incident ist nicht mit einem Wert ausgefüllt, oder in der Datenbank kann keine Übereinstimmung gefunden werden. Sie können ein alternatives Feld im Security Incident auswählen, um alle übereinstimmenden CI-Ergänzungsdaten anzuzeigen, die während des Scans Ihrer Assets gefunden wurden. Weitere Informationen zu den Feldern Konfigurationselement und Alternatives Konfigurationselement für einen Security Incident finden Sie unter Definieren von Auslösebedingungen mit einem CI-Feld (Configuration Item).

Sicherheits-Tags

Damit Sie den Status isolierter Hostcomputer nachverfolgen können und wann Malware-Scans initiiert werden, ist eine optionale Tagging-Funktion verfügbar. Standardmäßig ist diese Option im Konfigurationsformular für Profile deaktiviert. Wenn diese Option während des Konfigurationsschritts aktiviert ist, werden Sicherheits-Tag-Namen im Konfigurationsformular angezeigt. Dies sind die Namen der Tags, die in zugehörigen Security Incidents angezeigt werden. Diese Tags informieren Sie, wenn eine Host-Isolierungsaktion erfolgreich initiiert und genehmigt wurde. Nachdem ein Host erfolgreich an das Netzwerk zurückgegeben wurde, wird das Sicherheits-Tag automatisch aus dem Security Incident entfernt. Bei Malware-Scans wird im zugehörigen Security Incident ein Tag angezeigt, wenn ein Scan geplant wird. Nach Abschluss des Scans wird das geplante Tag automatisch durch ein Tag ersetzt, das angibt, dass der Scan erfolgreich abgeschlossen wurde.

Automatischer Auslöser basierend auf Incident

Wenn die Option Automatischer Auslöser basierend auf Incident aktiviert ist, ist der Filterbedingungsgenerator verfügbar, und Sie müssen Filterbedingungen festlegen, die angeben, wann das Profil automatisch ausgeführt wird. Ein allgemeiner Filter ist Kategorie ist schädliche Codeaktivität ™Und Geschäftsauswirkung ist 1 – Kritisch ™. Mit diesen Filtern starten nur Security Incidents, die sich auf schädlichen Code beziehen und kritische Geschäftsauswirkungen haben, das Profil. Die Verwendung der Option „Automatischer Auslöser“ kann die Anzahl der Security Incidents reduzieren, die das Profil automatisch aufrufen.

Genehmigungen

Wenn Ihre Organisation ein zusätzliches Maß an Kontrolle über Aktionen wie das Isolieren von Hostcomputern und das Initiieren von Malware-Scans wünscht, können Sie die Option Genehmigung anfordern während des Konfigurationsschritts für ein Profil aktivieren.

Wenn beispielsweise sowohl die Genehmigungs- als auch die Tagging-Funktionen für ein Profil aktiviert sind, wird der zugehörige Security Incident automatisch mit dem Tag versehen, dass die Aktion initiiert wird, nachdem eine Anforderung zum Isolieren eines Hostcomputers oder zur Rückgabe an das Netzwerk zur Genehmigung übermittelt wurde. Anforderungen werden standardmäßig zur Genehmigung an einen Anwender mit der Rolle „sn_si.admin“ gesendet. Diese Genehmigung kann jedoch einer anderen Person oder einer Genehmigungsgruppe entsprechend den Anforderungen Ihrer Organisation zugewiesen werden. Genehmiger verarbeiten Anforderungen in Meine Genehmigungen In ihren ServiceNow AI Platform® Instanzen. Sicherheits-Tags werden für zugehörige Security Incidents angezeigt. Alle Workflow-Aktivitäten werden auch in Arbeitsnotizen protokolliert, um einen Audit-Pfad zu erstellen.

ServiceNow Audit-Protokoll in McAfee ePO Konsole

In Version 5.10.0 von McAfee ePO, A ServiceNow Die Registerkarte wird mit einem Protokoll von Befehlen angezeigt, die von Ihrem initiiert werden ServiceNow AI Platform® Instanz. Nachdem eine Aktion oder Abfrage über ein Profil in aufgerufen wurde ServiceNow AI Platform® Instanz auf einem Hostcomputer (Endpunkt) in McAfee ePO Konsole, ein Audit-Protokoll von ServiceNow Befehle werden in erstellt McAfee ePO Konsole. Dieses Protokoll wird in der Systemstruktur in angezeigt McAfee ePO Konsole und hilft Ihnen, die Zeiten der Befehle zu auditieren, die an bestimmte Endpunkte gesendet werden. Zum Anzeigen protokollierter Elemente ServiceNow Ereignisse auf bestimmten Computern in einem McAfee ePO-Konsole führen Sie die folgenden Schritte aus.

1. Navigieren Sie zur Systemstruktur in McAfee ePO-Konsole und suchen Sie ServiceNow Registerkarte.
2. Klicken Sie auf die Registerkarte, um eine Liste der Hostcomputer zu öffnen.
3. Klicken Sie in der Spalte Name auf einen Hostnamen, um das Audit-Protokoll zu öffnen.

In der folgenden Abbildung ein Beispiel für ein Protokoll für einen Host ( PODCLIENT1 ) Wird angezeigt.

Die Ereignisse, die über die Profile in Ihrem initiiert wurden ServiceNow AI Platform® Instanzen werden aufgezeichnet und im Protokoll angezeigt. Überprüfen Sie, indem Sie den Status des Hostcomputers überprüfen, ob die im Protokoll aufgeführten Ereignisse auf dem Host erfolgreich abgeschlossen wurden.

Beispielprofile

Die folgenden Themen enthalten Beispiele für die Konfiguration von Profilen und das Testen von Security Incidents. Diese Beispiele umfassen Profile für alle McAfee ePO Fähigkeiten, die für diese Integration verfügbar sind.