Lösen Sie das Profil McAfee ePO manuell aus einem Security Incident aus

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Lösen Sie ein Fähigkeitsprofil manuell aus einem Now Platform Security Incident Response (SIR) Security Incident aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Hinweis:
    Die Genehmigungsoption in Profile für die McAfee ePO -Integration konfigurieren wird nur für die Funktionen „Host isolieren“ und „Hostisolierung entfernen“ angezeigt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können eine Anforderung zum automatischen Abrufen von Hostdetails, zum Isolieren des Hostcomputers oder zum Entfernen der Isolierung eines Computers aufrufen, wenn die im Profil angegebenen Auslöserbedingungen mit den Bedingungen für Security Incidents übereinstimmen. Wenn Sie eine Anforderung alternativ manuell übermitteln möchten, übermitteln Sie die Anforderung direkt aus einem Security Incident.

    Sobald Sie das Profil basierend auf den konfigurierten Auslöserbedingungen aktiviert haben, können Sie die Abfrageergebnisse in den Now Platform Security Incidents anzeigen. Mit McAfee ePO -Integrationen können Sie auch einzelne Fähigkeiten für Konfigurationselemente (CIs) ausführen, ohne ein Profil zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident, den Sie überprüfen möchten, mit den Informationen McAfee ePO.
    3. Wählen Sie im Abschnitt „Zugehörige Listen“ die Option EDR-Profil(e) ausführenaus.
      Abbildung : 1. McAfee EDR-Profil ausführen
      Lösen Sie ein Profil manuell aus einem Security Incident aus
    4. Suchen Sie ein Profil und wählen Sie es aus der Liste der verfügbaren Profile aus.
      Die Liste der verfügbaren Profile lautet „Hostdetails abrufen“, „Hostcomputer isolieren“ und „Isolierung entfernen“. Wählen Sie beispielsweise Hostdetails abrufen aus.
    5. Wählen Sie Zugehöriges CI einschließen aus, um dieses Profil für alle zugehörigen CIs des Profils auszuführen.
      Wenn dem Security Incident beispielsweise fünf CIs zugeordnet sind, wird das ausgewählte Profil für alle fünf CIs ausgeführt.
    6. Klicken Sie auf Absenden.
      Das ausgewählte Profil wird manuell ausgelöst. Sie können den Abschnitt „Arbeitsnotizen und Aktivitäten“ und die Tags „profileinitied“ und „profile-completed“ (Profil abgeschlossen) im Abschnitt „Arbeitsnotizen“ überprüfen.
      Abbildung : 2. Arbeitsnotizen für Automatisierungsaktivität
      Arbeitsnotizen protokollieren, wenn Fähigkeitsaufgaben initiiert und erfolgreich abgeschlossen werden
      Die Ergebnisse werden in Form von zugehörigen Listen angezeigt, z. B. „Hostdetails abrufen“, „Hostcomputer isolieren“ oder „Isolierung entfernen“.
      Hinweis:
      Alle zugehörigen Listentabellen erweitern die Basistabellen. In diesem Beispiel sind die McAfee ePO-Systemdetails eine erweiterte Tabelle der Basistabelle „Hostdetails“.
      Abbildung : 3. Zugehörige McAfee-Listen
      Überprüfen Sie die zugehörige Liste auf zusätzliche Details.
    7. Führen Sie die folgenden Schritte aus, um einzelne Fähigkeiten für ein Konfigurationselement (CI) auszuführen:
      1. Wählen Sie in der zugehörigen Liste Konfigurationselemente das erforderliche CI aus.
      2. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie die erforderliche Fähigkeit aus, die Sie für das ausgewählte CI ausführen möchten.
        Beispiel: Host isolieren.
      3. Klicken Sie auf Host isolieren, um sie für das ausgewählte CI auszuführen.
        Das ausgewählte CI wird vom Netzwerk isoliert.