Configure perfis e incidentes de segurança para consultas de aprimoramento do sistema para McAfee ePOintegração

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

4 min. de leitura

Defina suas configurações de perfil para que o perfil seja acionado somente sob as condições definidas por você.

Antes de Iniciar

Função necessária: Now Platform®administrador de incidentes de segurança (sn_si.admin)

Por Que e Quando Desempenhar Esta Tarefa

Defina as condições que acionam automaticamente o. McAfee ePOcapacidades que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.

Procedimento

Se a página Configuração não for exibida, clique em Configuração na barra de andamento.

No formulário, preencha os campos

Opção	Descrição
Habilitar campo de gatilho de IC alternativo	Campo de gatilho de item de configuração alternativo (IC). O padrão é limpo. Quando esta caixa de seleção estiver desmarcada e a opção de campo de gatilho de IC alternativo estiver desabilitada, uma alternativa para o campo de IC não será identificada. Se desabilitado, um valor para o campo IC deve ser preenchido em um SIRincidente de segurança e o valor no campo devem ser reconhecidos pelo McAfee ePOconsole antes que o perfil colete dados de aprimoramento. Marque esta caixa de seleção se você acredita que o campo de IC não será preenchido na criação do incidente, mas as informações de IC serão preenchidas em outro campo no incidente de segurança. Quando esta opção está habilitada, a lista de seleção do campo de gatilho de IC alternativo é exibida. Escolha um campo alternativo na lista de seleção para verificar seus critérios de pesquisa de IC. Para obter mais informações sobre o campo de gatilho de IC alternativo, consulte Definindo condições de acionamento com um campo de item de configuração (IC) para um McAfee ePOperfil.
Marcadores de exibição	Os marcadores de segurança são exibidos em incidentes de segurança. O padrão é limpo. Quando esta caixa de seleção estiver desmarcada e a opção de marcação estiver desabilitada, nenhum nome de marcador de segurança será exibido no formulário de configuração e os marcadores não serão exibidos em incidentes de segurança relacionados. Para este exemplo, a opção de marcadores de segurança está desabilitada.
Gatilho automático com base no incidente	Condições de filtro. O padrão é limpo. Quando a caixa de seleção estiver desmarcada e a opção estiver desabilitada, o perfil deverá ser invocado manualmente a partir de um incidente de segurança. Quando esta opção está habilitada, o Construtor de condições de filtro é exibido. Você deve definir as condições de filtragem para especificar quando o perfil será executado automaticamente após a criação do incidente. Um exemplo comum de um filtro para um perfil que executa consultas de aprimoramento é `A categoria é atividade de código mal-intencionado` e. `O impacto nos negócios é 1 – Crítico` . Essas condições de filtro ajudam a localizar os incidentes relacionados a tipos específicos de eventos de segurança e ajudam a limitar o número de incidentes de segurança que você precisa revisar. Essas configurações de filtro permanecem salvas até que você as altere, e elas estão disponíveis para edição durante a etapa de incidente de visualização e teste da configuração.
Aprovação necessária	Opção de aprovação de solicitação. O padrão é limpo. Esta opção de aprovação está disponível para qualquer perfil. Normalmente, as aprovações são usadas para capacidades que invocam ações como isolamento de host e verificações de malware. Quando a caixa de seleção estiver desmarcada e esta opção estiver desabilitada, nenhuma solicitação de aprovação será enviada. Para este exemplo, nenhuma permissão prévia é necessária para consultas de aprimoramento do sistema.

Configure o perfil de capacidade do McAfee

Para habilitar a opção de campo de IC alternativo e definir as condições de filtragem que invocam automaticamente este perfil, siga estas etapas.
1. Selecione Habilitar campo de gatilho de IC alternativo caixa de seleção.
  O campo de gatilho de IC alternativo é exibido. Para este exemplo, como um usuário com a função sn_si.admin, você acredita que o campo IC não será preenchido no incidente de segurança após a criação do incidente. Como alternativa, você acha que as informações de IC de um FQDN, nome de host ou endereço IP serão preenchidas no IC identificado No incidente de segurança e você seleciona o campo IC identificado como uma alternativa. O IC identificado está selecionado para este exemplo, mas você pode usar qualquer campo no incidente de segurança para o IC alternativo.
2. Em Gatilho de IC alternativo lista de seleção de campo exibida, selecione IC identificado campo.
  
  Todos os campos disponíveis no incidente de segurança são exibidos na lista, incluindo todos os campos personalizados. No campo gatilho de IC alternativo, IC identificado é exibido.
  
  Quando este perfil é invocado e o campo IC não é preenchido no incidente de segurança associado no gatilho de evento inicial, o perfil usa alternativamente o valor do campo IC identificado na pesquisa.
3. Selecione Gatilho automático com base no incidente caixa de seleção.
  O construtor de condições de filtro é exibido. Com esta opção, defina condições de filtragem e especifique quando o perfil será invocado automaticamente após a criação de um incidente de segurança.
4. Defina as condições de incidente DE SIR que acionarão automaticamente as capacidades do ePO selecionadas para este perfil específico.
5. Se as capacidades de perfil que executam uma ação em um endpoint exigirem aprovação, selecione Aprovação necessária caixa de seleção.
6. Selecione uma aprovação usando o ícone de pesquisa.
Clique em Concluir.
Você configurou com sucesso o perfil para que ele seja acionado automaticamente após a criação do incidente, e um campo alternativo é usado para preencher os resultados de IC correspondentes.