Nachdem Sie ein Profil erstellt und die McAfee ePO -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Einstellungen des Profils so, dass es nur ausgeführt wird, wenn bestimmte Bedingungen erfüllt sind.

Sie haben die Flexibilität, diese Auslösebedingungen festzulegen, sodass das Profil automatisch basierend auf den Standardfeldwerten ausgeführt wird, die mit einem Now Platform® Security Incident Response Security Incident abgeglichen werden. Alternativ können Sie ein Profil so einrichten, dass nach Übereinstimmungen mit Feldwerten gesucht wird, die Sie im Security Incident ausdrücklich identifiziert haben.

Einer der Schlüssel zur Funktionalität der Integration und zur Funktionsweise eines Profils ist das Feld Configuration Item (CI) im Security Incident Now Platform® Security Incident Response (SIR). Der Wert dieses Felds ist der Prinzipalwert für einen Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in der Datenbank Now Platform® gespeicherten Informationen abzugleichen. Wenn ein SIR Security Incident durch ein Sicherheitsereignis erstellt wird und ein Profil aktiviert ist, werden Ihre Assets auf einen übereinstimmenden Wert für einen vollständig qualifizierten Domänennamen (FQDN), einen Hostnamen oder eine IP-Adresse basierend auf dem Wert von gescannt Feld Konfigurationselement.

Im Idealfall wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten können in der Konsole McAfee ePO für das übereinstimmende Asset gesammelt, in Ihre Instanz Now Platform® abgerufen und in den zugehörigen Listen eines Security Incident angezeigt werden. Die folgende Abbildung zeigt ein Beispiel für das mit einem Hostnamen ausgefüllte Feld Configuration Item in einem SIR Security Incident.

Wenn das Feld Configuration Item (CI) im Security Incident nicht ausgefüllt ist oder keine Übereinstimmung für einen FQDN, einen Hostnamen oder eine IP-Adresse gefunden werden kann, die der Datenbank entspricht, können Sie ein alternatives Feld für die Sicherheitsvorkehrung auswählen Incident, um übereinstimmende CI-Ergänzungsdaten anzuzeigen, die beim Scan Ihrer Assets gefunden wurden.

Während des Konfigurationsschritts der Profileinrichtung können Sie ein alternatives CI-Auslöserfeld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass die CI-Ergänzungsdaten aus der Suche McAfee ePO für den zugeordneten Security Incident ausgefüllt werden. Sie können ein beliebiges Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich benutzerdefinierter Felder, die Sie erstellen. Wenn Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht für den zugehörigen Security Incident ausgefüllt wird.

Beispiel: Als SOC-Analyst (Security Operations Center) erstellen Sie ein benutzerdefiniertes Feld für einen Security Incident mit der Bezeichnung IP-Adresse für meinen Security Incident. Wenn Sie nicht der Meinung sind, dass der Wert dieses benutzerdefinierten Felds bei der Incident-Erstellung im Feld Configuration Item des Security Incident angezeigt wird, können Sie das Profil so einrichten, dass es nach dieser IP-Adresse sucht. Bei Übereinstimmung wird die IP-Adresse des Security Incident im Feld Ihrer Wahl angezeigt. In der folgenden Abbildung wird das Feld Identifiziertes CI als alternatives Feld für die IP-Adresse für dieses Beispiel ausgewählt.

Die folgende Abbildung zeigt, wie bei der ersten Suche des Workflows nach Übereinstimmungen für Konfigurationselemente gescannt wird. Wenn das Feld Alternativer CI-Auslöser aktiviert ist, wird bei der zweiten Suche nach Übereinstimmungen für alternative Werte gescannt.

Wenn für das CI-Feld oder das alternative CI-Feld keine übereinstimmenden IDs gefunden werden, wird eine Arbeitsnotiz protokolliert und eine Meldung zum Security Incident angezeigt. Wenn keine Übereinstimmungen gefunden werden, werden keine Ergänzungsdaten für die Security Incidents im Zusammenhang mit dem Event ausgefüllt.

Sie aktivieren das alternative CI-Auslöserfeld und wählen das Feld aus, in dem die übereinstimmende ID während des Konfigurationsschritts für ein Profil angezeigt werden soll. Dieser Schritt zum Aktivieren des alternativen CI-Felds wird zusammen mit den anderen Profilkonfigurationsanforderungen in Profile für die McAfee ePO -Integration konfigurierenbeschrieben.