Konfigurieren Sie Profile und Security Incidents für Systemergänzungsabfragen für die McAfee ePO -Integration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: Now Platform® Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die automatisch die Fähigkeiten McAfee ePO auslösen, die Sie für das Profil ausgewählt haben. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, sodass nur die Security Incidents, die sich auf Ihr auslösendes Event beziehen, das Profil automatisch auslösen.

    Prozedur

    1. Wenn die Konfigurationsseite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Konfiguration.
    2. Füllen Sie die Felder des Formulars aus
      OptionBeschreibung
      Alternatives CI-Auslöserfeld aktivieren Alternatives CI-Auslöserfeld (Configuration Item). Der Standardwert ist deaktiviert.

      Wenn diese Checkbox deaktiviert ist und die Option für das alternative CI-Auslöserfeld deaktiviert ist, wird keine Alternative für das CI-Feld identifiziert. Wenn diese Option deaktiviert ist, muss ein Wert für das CI-Feld bei einem SIR Security Incident ausgefüllt werden, und der Wert im Feld muss von der McAfee ePO -Konsole erkannt werden, bevor das Profil Ergänzungsdaten erfasst.

      Aktivieren Sie diese Checkbox, wenn Sie der Meinung sind, dass das CI-Feld bei der Incident-Erstellung nicht ausgefüllt wird, die CI-Informationen jedoch in einem anderen Feld des Security Incident ausgefüllt werden. Wenn diese Option aktiviert ist, wird die Auswahlliste Alternatives CI-Auslöserfeld angezeigt. Wählen Sie ein alternatives Feld aus der Auswahlliste aus, um nach Ihren CI-Suchkriterien zu suchen.

      Weitere Informationen zum alternativen CI-Auslöserfeld finden Sie unter Definieren von Auslöserbedingungen mit einem Konfigurationselement (CI)-Feld für ein McAfee ePO -Profil.
      Tags anzeigen Sicherheits-Tags werden für Security Incidents angezeigt. Der Standardwert ist deaktiviert.

      Wenn diese Checkbox deaktiviert ist und die Tagging-Option deaktiviert ist, werden im Konfigurationsformular keine Sicherheits-Tag-Namen angezeigt, und Tags werden bei zugehörigen Security Incidents nicht angezeigt. In diesem Beispiel ist die Option Sicherheits-Tags deaktiviert.
      Automatischer Auslöser basierend auf Incident Filterbedingungen. Der Standardwert ist deaktiviert.

      Wenn das Kontrollkästchen deaktiviert und die Option deaktiviert ist, muss das Profil bei einem Security Incident manuell aufgerufen werden.

      Wenn diese Option aktiviert ist, wird der Filterbedingungsgenerator angezeigt. Sie müssen die Filterbedingungen festlegen, um anzugeben, wann das Profil bei der Incident-Erstellung automatisch ausgeführt wird.

      Ein häufiges Beispiel für einen Filter für ein Profil, das Ergänzungsabfragen ausführt, ist Kategorie ist Aktivität des schädlichen Codes und Geschäftsauswirkung ist 1-Kritisch. Diese Filterbedingungen helfen Ihnen, die Incidents zu finden, die sich auf bestimmte Arten von Sicherheits-Ereignisse beziehen, und sie helfen Ihnen, die Anzahl der zu überprüfenden Security Incidents zu begrenzen.

      Diese Filtereinstellungen bleiben gespeichert, bis Sie sie ändern, und können während des Vorschau- und Test-Incident-Schritts der Konfiguration bearbeitet werden.
      Genehmigung erforderlich Anforderungsgenehmigungsoption. Der Standardwert ist deaktiviert.

      Diese Genehmigungsoption ist für jedes Profil verfügbar. Normalerweise werden Genehmigungen für Fähigkeiten verwendet, die Aktionen wie Hostisolierung und Malware-Scans aufrufen.

      Wenn das Kontrollkästchen deaktiviert ist und diese Option deaktiviert ist, werden keine Genehmigungsanforderungen übermittelt. In diesem Beispiel ist für Systemergänzungsabfragen keine vorherige Berechtigung erforderlich.
      Konfigurieren Sie das McAfee-Fähigkeitsprofil
    3. Führen Sie die folgenden Schritte aus, um die Option für das alternative CI-Feld zu aktivieren und die Filterbedingungen festzulegen, die dieses Profil automatisch aufrufen.
      1. Aktivieren Sie das Kontrollkästchen Alternatives CI-Auslöserfeld aktivieren.
        Das Feld Alternativer CI-Auslöser wird angezeigt. In diesem Beispiel gehen Sie als Benutzer mit der Rolle „sn_si.admin“ davon aus, dass das CI-Feld im Security Incident bei der Incident-Erstellung nicht ausgefüllt wird. Alternativ gehen Sie davon aus, dass CI-Informationen für einen FQDN, einen Hostnamen oder eine IP-Adresse im Feld Identifiziertes CI des Security Incident ausgefüllt werden, und wählen das Feld Identifiziertes CI als Alternative aus. Für dieses Beispiel wird das identifizierte CI ausgewählt, Sie können jedoch ein beliebiges Feld im Security Incident für das alternative CI verwenden.
      2. Wählen Sie in der angezeigten Auswahlliste Alternatives CI-Auslöserfeld das Feld Identifiziertes CI aus.

        Alle verfügbaren Felder für den Security Incident werden in der Liste angezeigt, einschließlich aller benutzerdefinierten Felder. Im Feld Alternativer CI-Auslöser wird Identifiziertes CI angezeigt.

        Wenn dieses Profil aufgerufen wird und das CI-Feld beim ersten Event-Auslöser nicht für den zugeordneten Security Incident ausgefüllt wird, verwendet das Profil alternativ den Wert aus dem Feld Identifiziertes CI in der Suche.

      3. Aktivieren Sie das Kontrollkästchen Automatischer Auslöser basierend auf Incident.
        Der Generator für Filterbedingungen wird angezeigt. Mit dieser Option legen Sie Filterbedingungen fest und geben an, wann das Profil beim Erstellen eines Security Incident automatisch aufgerufen wird.
      4. Definieren Sie die SIR-Incident-Bedingungen, die automatisch die für dieses bestimmte Profil ausgewählten ePO-Fähigkeiten auslösen.
      5. Wenn die Profilfähigkeiten, die eine Aktion auf einem Endpunkt ausführen, eine Genehmigung erfordern, aktivieren Sie das Kontrollkästchen Genehmigung erforderlich.
      6. Wählen Sie mithilfe des Suchsymbols eine Genehmigung aus.
    4. Klicken Sie auf Fertigstellen.
      Sie haben das Profil erfolgreich konfiguriert, sodass es bei der Incident-Erstellung automatisch ausgelöst wird und ein alternatives Feld zum Ausfüllen übereinstimmender CI-Ergebnisse verwendet wird.