Depois de criar um perfil e selecionar os McAfee ePO recursos que deseja que o perfil execute, defina as configurações do perfil para que ele seja executado somente quando um conjunto de condições específicas for atendido.

Você tem a flexibilidade de definir essas condições de acionamento para que o perfil seja executado automaticamente com base nos valores de campo padrão que são correspondidos em um incidente de segurança Now Platform® Security Incident Response. Como alternativa, você pode configurar um perfil para que ele pesquise correspondências nos valores de campos que você identifica especificamente no incidente de segurança.

Uma das chaves para a funcionalidade da integração e como um perfil funciona é o campo Item de configuração (IC) no incidente de segurança Now Platform® Security Incident Response (SIR). O valor deste campo é o valor principal em um incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos com as informações armazenadas no banco de dados Now Platform®. Quando um SIR incidente de segurança é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados quanto a um valor correspondente para um nome de domínio totalmente qualificado (FQDN), um nome de host ou um endereço IP com base no valor de o campo Item de configuração.

Em um caso ideal, um valor correspondente é encontrado no banco de dados e os dados podem ser coletados do console McAfee ePO para o ativo correspondente, extraídos para sua instância Now Platform® e exibidos nas listas relacionadas de um incidente de segurança. A figura a seguir mostra um exemplo do campo Item de configuração preenchido com um nome de host em um incidente de segurança SIR.

Nos casos em que o campo Item de configuração (IC) não estiver preenchido no incidente de segurança ou não for possível encontrar uma correspondência para um FQDN, um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo no campo de segurança incidente para exibir todos os dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de gatilho de IC alternativo para identificação de endpoint para garantir que os dados de aprimoramento de IC da pesquisa McAfee ePO sejam preenchidos no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como um backup, você garante que seus perfis sejam executados mesmo que o campo de IC não esteja preenchido no incidente de segurança associado após a criação do incidente.

Por exemplo, como analista do centro de operações de segurança (SOC), você cria um campo personalizado para um incidente de segurança chamado Endereço IP no meu incidente de segurança. Se você não achar que o valor deste campo personalizado será exibido no campo Item de configuração no incidente de segurança após a criação do incidente, você pode configurar o perfil para que ele verifique este endereço IP. Se corresponder, o endereço IP será exibido no incidente de segurança no campo de sua escolha. Na figura a seguir, o campo IC identificado é selecionado como o campo alternativo para o endereço IP deste exemplo.

A figura a seguir ilustra como a primeira pesquisa do fluxo de trabalho verifica correspondências para Itens de configuração. Se o campo de gatilho de IC alternativo estiver habilitado, a segunda pesquisa verificará correspondências para valores alternativos.

Se não forem encontrados IDs correspondentes para o campo de IC ou o campo de IC alternativo, uma anotação de trabalho será registrada e uma mensagem será exibida no incidente de segurança. Quando nenhuma correspondência é encontrada, nenhum dado de aprimoramento é preenchido nos incidentes de segurança relacionados ao evento.

Você habilita o campo de gatilho de IC alternativo e seleciona o campo em que deseja exibir o ID correspondente durante a etapa de configuração de um perfil. Esta etapa para habilitar o campo de IC alternativo é descrita junto com os outros requisitos de configuração de perfil em Configurando perfis para a integração McAfee ePO.