Nachdem Sie ein Profil erstellt und ausgewählt haben McAfee ePO Fähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen des Profils so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt sind.

Sie haben die Flexibilität, diese Auslösebedingungen festzulegen, damit das Profil automatisch basierend auf den Standardfeldwerten ausgeführt wird, die auf einem abgeglichen werden ServiceNow AI Platform® Security Incident Response Security Incident. Alternativ können Sie ein Profil so einrichten, dass es nach Übereinstimmungen für Feldwerte sucht, die Sie speziell im Security Incident identifizieren.

Einer der Schlüssel für die Funktionalität der Integration und die Funktionsweise eines Profils ist das Feld Konfigurationselement (CI) auf der ServiceNow AI Platform® Security Incident Response( SIR) Security Incident. Der Wert dieses Felds ist der Prinzipalwert für einen Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in gespeicherten Informationen abzugleichen ServiceNow AI Platform® Datenbank. Wenn ein SIR Security Incident wird durch ein Sicherheitsereignis erstellt, und ein Profil wird aktiviert. Ihre Assets werden basierend auf dem Wert des Felds Konfigurationselement nach einem übereinstimmenden Wert für einen vollqualifizierten Domänennamen (FQDN), einen Hostnamen oder eine IP-Adresse gescannt.

Im Idealfall wird in der Datenbank ein übereinstimmender Wert gefunden, und Daten können aus gesammelt werden McAfee ePO Konsole für das übereinstimmende Asset, abgerufen in Ihr ServiceNow AI Platform® Instanz und wird in den zugehörigen Listen eines Security Incidents angezeigt. Die folgende Abbildung zeigt ein Beispiel für das Feld Konfigurationselement, das mit einem Hostnamen auf einem ausgefüllt wird SIR Security Incident.

Wenn das Feld Configuration Item (CI) im Security Incident nicht ausgefüllt ist oder keine Übereinstimmung für einen FQDN, einen Hostnamen oder eine IP-Adresse gefunden werden kann, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um alle übereinstimmenden CI-Ergänzungsdaten anzuzeigen, die während des Scans Ihrer Assets gefunden wurden.

Während des Konfigurationsschritts des Profils können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Ergänzungsdaten aus dem stammen McAfee ePO Die Suche wird für den zugehörigen Security Incident ausgefüllt. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht für den zugehörigen Security Incident ausgefüllt ist.

Als Analyst des Security Operations Center (SOC) erstellen Sie beispielsweise ein anwenderdefiniertes Feld für einen Security Incident mit der Bezeichnung IP-Adresse in meinem Security Incident. Wenn Sie nicht der Meinung sind, dass der Wert dieses anwenderdefinierten Felds bei der Incident-Erstellung im Feld Konfigurationselement im Security Incident angezeigt wird, können Sie das Profil so einrichten, dass es nach dieser IP-Adresse sucht. Bei Übereinstimmung wird die IP-Adresse im Feld Ihrer Wahl im Security Incident angezeigt. In der folgenden Abbildung ist Identifiziertes CI Das Feld ist als alternatives Feld für die IP-Adresse in diesem Beispiel ausgewählt.

Die folgende Abbildung zeigt, wie die erste Suche des Workflows nach Übereinstimmungen für Konfigurationselemente scannt. Wenn das Feld Auslöser für alternatives CI aktiviert ist, scannt die zweite Suche nach Übereinstimmungen nach alternativen Werten.

Wenn keine übereinstimmenden IDs für das CI-Feld oder das alternative CI-Feld gefunden werden, wird eine Arbeitsnotiz protokolliert, und eine Meldung wird im Security Incident angezeigt. Wenn keine Übereinstimmungen gefunden werden, werden keine Ergänzungsdaten für die Security Incidents im Zusammenhang mit dem Ereignis ausgefüllt.

Sie aktivieren das alternative CI-Auslöserfeld und wählen das Feld aus, in dem Sie die übereinstimmende ID während des Konfigurationsschritts für ein Profil anzeigen möchten. Dieser Schritt zum Aktivieren des Felds „alternatives CI“ wird zusammen mit den anderen Profilkonfigurationsanforderungen in beschrieben Einstellungen konfigurieren.