Depois de criar um perfil e selecionar McAfee ePOpara executar o perfil, você define as configurações do perfil para que ele seja executado somente quando um conjunto de condições específicas for atendido.

Você tem a flexibilidade de definir essas condições de acionamento para que o perfil seja executado automaticamente com base nos valores de campo padrão correspondentes em um Now Platform® Resposta a incidentes de segurançaincidente de segurança. Como alternativa, você pode configurar um perfil para que ele pesquise correspondências nos valores de campo que você identifica especificamente no incidente de segurança.

Uma das chaves para a funcionalidade da integração e como um perfil funciona é o campo Item de configuração (IC) no Now Platform® Resposta a incidentes de segurança( SIR) incidente de segurança. O valor deste campo é o valor principal em um incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos com as informações armazenadas no Now Platform®banco de dados. Quando um SIRO incidente de segurança é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados para um valor correspondente para um Nome de domínio totalmente qualificado (FQDN), um nome de host ou um endereço IP com base no valor do campo Item de configuração.

Em um caso ideal, um valor correspondente é encontrado no banco de dados e os dados podem ser coletados do McAfee ePOconsole do ativo correspondente, puxado para seu Now Platform®e exibidos nas listas relacionadas de um incidente de segurança. A figura a seguir mostra um exemplo do campo Item de configuração preenchido com um nome de host em um SIRincidente de segurança.

Nos casos em que o campo Item de configuração (IC) não estiver preenchido no incidente de segurança ou não for possível encontrar uma correspondência para um FQDN, um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança para exibir quaisquer dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de gatilho de IC alternativo para identificação de endpoint para garantir que os dados de aprimoramento de IC do McAfee ePOa pesquisa é preenchida no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como backup, você garante que seus perfis sejam executados mesmo que o campo IC não esteja preenchido no incidente de segurança associado na criação do incidente.

Por exemplo, como analista do centro de operações de segurança (SOC), você cria um campo personalizado para um incidente de segurança chamado Endereço IP no meu incidente de segurança. Se você acha que o valor desse campo personalizado não será exibido no campo Item de configuração no incidente de segurança após a criação do incidente, configure o perfil para que ele verifique este endereço IP. Se correspondido, o endereço IP será exibido no incidente de segurança no campo de sua escolha. Na figura a seguir, o. IC identificado O campo está selecionado como o campo alternativo para o endereço IP deste exemplo.

A figura a seguir ilustra como a primeira pesquisa do fluxo de trabalho verifica correspondências para itens de configuração. Se o campo gatilho de IC alternativo estiver habilitado, a segunda pesquisa verificará correspondências para valores alternativos.

Se IDs correspondentes não forem encontrados para o campo IC ou o campo IC alternativo, uma anotação de trabalho será registrada e uma mensagem será exibida no incidente de segurança. Quando nenhuma correspondência é encontrada, nenhum dado de aprimoramento é preenchido nos incidentes de segurança relacionados ao evento.

Você habilita o campo de gatilho de IC alternativo e seleciona o campo no qual deseja exibir o ID correspondente durante a etapa de configuração de um perfil. Esta etapa para habilitar o campo de IC alternativo é descrita junto com os outros requisitos de configuração de perfil em Configurando perfis para McAfee ePOintegração.