Konfigurieren Sie ein Profil, um einen Malware-Scan zu initiieren

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Nachdem Sie ein Profil mit der Funktion „Malware-Scan initiieren“ und anderen erstellt haben McAfee ePO Fähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen des Profils so, dass es unter den von Ihnen definierten spezifischen Bedingungen aufgerufen wird.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Konfigurieren Sie als Anwender mit der Rolle „sn_si.admin“ das Profil so, dass ein Scan nur geplant wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind ServiceNow AI Platform Security Incident Response( SIR) Security Incidents. Sie definieren, welche Bedingungen für Security Incidents den Scan auslösen. Alle anderen McAfee ePO Fähigkeiten, die Sie für das Profil auswählen, teilen die auslösenden Bedingungen. Die Optionen zum Auswählen eines alternativen Eingabefelds für das Feld Configuration Item (CI) und zum Festlegen von Filterbedingungen sind verfügbar. Möglicherweise ziehen Sie es vor, die Filterung so festzulegen, dass nur diese Filter vorhanden sind SIR Security Incidents, die sich auf Ihr auslösendes Ereignis beziehen, rufen das Profil automatisch auf.

    Wie bei der Aktion „Host isolieren“ können Sie einen Scan bei Bedarf direkt von starten SIR Security Incident. Weitere Informationen zum manuellen Starten eines Scans finden Sie unter Auslöser McAfee ePO Profil manuell aus einem Security Incident.

    Prozedur

    1. Wenn die Konfigurationsseite nicht angezeigt wird, klicken Sie auf Konfiguration Auf der Fortschrittsleiste.
      Konfigurationsformular für „Malware-Scan initiieren“.
      Das Formular Konfiguration wird angezeigt.
    2. Füllen Sie das Formular aus.
      OptionBeschreibung
      Alternatives CI-Auslöserfeld aktivieren Auslöserfeld für alternatives Konfigurationselement (CI). Standard ist deaktiviert. In diesem Beispiel ist das Kontrollkästchen deaktiviert.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Option alternatives CI-Auslöserfeld deaktiviert ist, wird keine Alternative für das CI-Feld identifiziert. Wenn diese Option deaktiviert ist, muss ein Wert für das CI-Feld in einem ausgefüllt werden SIR Security Incident und der Wert im Feld müssen von erkannt werden McAfee ePO Konsole, bevor das Profil ausgeführt wird.

      Wenn dieses Kontrollkästchen aktiviert ist und diese Option aktiviert ist, wird die Auswahlliste alternatives CI-Auslöserfeld angezeigt. Wählen Sie ein beliebiges Feld aus dieser Liste als alternatives Feld für das CI aus.

      Weitere Informationen zum alternativen CI-Auslöserfeld finden Sie unter Definieren von Auslösebedingungen mit einem CI-Feld (Configuration Item) Und Erstellen Sie ein Fähigkeitsprofil.
      Tags anzeigen Sicherheits-Tags für Security Incidents. Standard ist deaktiviert.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Tagging-Option deaktiviert ist, werden im Security Incident keine Sicherheits-Tag-Namen angezeigt. Lassen Sie dieses Kontrollkästchen deaktiviert, wenn keine Sicherheits-Tags für zugehörige Security Incidents angezeigt werden sollen.

      Wenn das Kontrollkästchen aktiviert ist und die Tagging-Option aktiviert ist, werden Sicherheits-Tag-Namen im Konfigurationsformular angezeigt. Dies sind die Tag-Namen, die in zugehörigen Security Incidents angezeigt werden.

      Malware-Scans können außerhalb der Geschäftszeiten geplant werden und einige Zeit in Anspruch nehmen. Wenn das Tagging aktiviert ist, wird oben im Security Incident ein Sicherheits-Tag angezeigt, das angibt, dass der Scan geplant ist. Nachdem der Scan erfolgreich abgeschlossen wurde, wird das geplante Tag automatisch durch ein Tag ersetzt, das angibt, dass der Scan erfolgreich abgeschlossen wurde.

      Tag-Namen und -Farben können bearbeitet werden. Weitere Informationen finden Sie unter Bearbeiten Sie Sicherheits-Tags in ServiceNow AI Platform Für McAfee ePO Integration.
      Automatischer Auslöser basierend auf Incident Filterbedingungen. Standard ist deaktiviert.

      Wenn das Kontrollkästchen deaktiviert und die Option deaktiviert ist, startet das Profil nicht automatisch einen Malware-Scan. Das Profil muss manuell über einen Security Incident gestartet werden.

      Wenn das Kontrollkästchen aktiviert ist und die Option „Automatischer Auslöser“ aktiviert ist, wird der Filterbedingungsgenerator im Formular angezeigt. Sie müssen die Filterbedingungen festlegen, um anzugeben, wann das Profil bei der Incident-Erstellung automatisch ausgeführt wird.

      In diesem Beispiel filtert nach Kategorie ist schädliche Codeaktivität Und Geschäftsauswirkung ist 1 – Kritisch Werden verwendet. Weitere Informationen zum Filterbedingungsgenerator finden Sie unter Erstellen Sie ein Fähigkeitsprofil.
      Genehmigung erforderlich Vor dem Initiieren des Scans ist eine Genehmigung erforderlich. Standard ist deaktiviert.

      Wenn das Kontrollkästchen deaktiviert ist und die Genehmigungsoption deaktiviert ist, initiiert ein Anwender mit der Rolle „sn_si.Analyst“ einen Malware-Scan, ohne eine vorherige Genehmigung anzufordern.

      Aktivieren Sie dieses Kontrollkästchen, und aktivieren Sie diese Option, wenn ein Anwender mit der Rolle „sn_si.Analyst“ die Genehmigung anfordern soll, bevor ein Malware-Scan initiiert wird.

      In diesem Beispiel sind die Genehmigungs- und Tagging-Optionen für das Profil aktiviert. Weitere Informationen zum Konfigurieren von finden Sie Aktivieren Sie das alternative CI-Auslöserfeld Und Automatischer Auslöser basierend auf Incident Optionen, siehe Konfigurieren Sie Profile und Security Incidents für Systemanreicherungsabfragen.

    3. Wählen Sie eine Option aus, um fortzufahren.
      OptionBeschreibung
      Zurück Kehren Sie zum Schritt Name zurück, wenn Sie das Profil bearbeiten möchten.
      Speichern Speichern Sie Ihre Änderungen, und bleiben Sie auf dieser Seite. Um Ihre Änderungen zu speichern, klicken Sie mit der rechten Maustaste im grauen Banner oben im Bildschirm. Klicken Sie im angezeigten Menü auf Speichern .
      Fahren Sie fort, oder wählen Sie Incident testen in der Fortschrittsleiste aus Fahren Sie mit dem Schritt Incident testen und Vorschau fort. Wenn Sie die Seite verlassen, ohne zuerst Ihre Änderungen zu speichern, werden Ihre Änderungen nicht gespeichert.
      Löschen Löschen Sie dieses Profil aus der McAfee ePO Liste der Fähigkeitsprofile.
      Sie haben das Profil erfolgreich konfiguriert, sodass bei der Incident-Erstellung automatisch ein Malware-Scan ausgelöst wird. Ein alternatives CI-Feld wird verwendet, um übereinstimmende CI-Ergebnisse aus dem Scan auszufüllen. Der nächste Schritt besteht in der Vorschau und dem Testen von Security Incidents für dieses Profil.