Configurando perfis para McAfee ePOintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura
  • Depois de criar um perfil e selecionar McAfee ePOas capacidades que você deseja que o perfil execute, defina as configurações para que o perfil seja invocado somente sob as condições específicas que você definir.

    Configurando um perfil

    Nesta etapa, você configura um perfil de capacidade para que ele seja executado somente quando as condições especificadas forem atendidas. Você define quais condições em incidentes de segurança acionam automaticamente o. McAfee ePOcapacidades que você selecionou para o perfil. Você também tem a opção de selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento iniciem automaticamente o perfil. A etapa de configuração inclui as seguintes definições no formulário de configuração do perfil.

    Campo de gatilho de item de configuração alternativo (IC)

    Nos casos em que o campo Item de configuração (IC) no Now Platform® Resposta a incidentes de segurança( SIR) O incidente de segurança não foi preenchido com um valor ou uma correspondência não pode ser encontrada no banco de dados, você pode selecionar um campo alternativo no incidente de segurança para exibir todos os dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos. Para obter mais informações sobre os campos Item de configuração e Item de configuração alternativo em um incidente de segurança, consulte Definindo condições de acionamento com um campo de item de configuração (IC) para um McAfee ePOperfil.

    Marcadores de segurança

    Para ajudar você a rastrear o status de máquinas host isoladas e quando as verificações de malware são iniciadas, um recurso de marcação opcional está disponível. Por padrão, esta opção está desabilitada no formulário de configuração para perfis. Se esta opção estiver habilitada durante a etapa de configuração, os nomes dos marcadores de segurança serão exibidos no formulário de configuração. Estes são os nomes dos marcadores exibidos em incidentes de segurança relacionados. Esses marcadores informam quando uma ação de isolamento de host é iniciada com sucesso e quando é aprovada. Depois que um host é retornado com sucesso para a rede, o marcador de segurança é removido automaticamente do incidente de segurança. Para verificações de malware, um marcador é exibido no incidente de segurança relacionado quando uma verificação é agendada. Após a conclusão da verificação, o marcador agendado é substituído automaticamente por um marcador que indica que a verificação foi concluída com sucesso.

    Gatilho automático com base no incidente

    Quando a opção Acionar automaticamente com base no incidente está habilitada, o construtor de condições de filtro está disponível e você precisa definir condições de filtragem que especificam quando o perfil é executado automaticamente. Um filtro comum é A categoria é atividade de código mal-intencionado ™e. O impacto nos negócios é 1 - Crítico ™. Com esses filtros, somente incidentes de segurança relacionados a código mal-intencionado e que têm um impacto crítico nos negócios iniciam o perfil. O uso da opção Acionamento automático pode reduzir o número de incidentes de segurança que invocam automaticamente o perfil.

    Aprovações

    Se sua organização quiser um nível extra de controle sobre ações como isolar máquinas host e iniciar verificações de malware, você poderá habilitar a opção Exigir aprovação durante a etapa de configuração de um perfil.

    Por exemplo, se os recursos de aprovação e marcação estiverem habilitados para um perfil, depois que uma solicitação para isolar uma máquina host ou devolvê-la à rede for enviada para aprovação, o incidente de segurança associado será marcado automaticamente de que a ação foi iniciada. As solicitações são enviadas para aprovação a um usuário com a função sn_si.admin por padrão, mas essa aprovação pode ser reatribuída a outro indivíduo ou a um grupo de aprovação para atender às necessidades da sua organização. Os aprovadores processam solicitações em Minhas aprovações em seus Now Platform®instâncias. Os marcadores de segurança são exibidos em incidentes de segurança relacionados. Todas as atividades de fluxo de trabalho também são registradas em anotações de trabalho para criar uma trilha de auditoria.

    ServiceNowlog de auditoria no McAfee ePOconsole

    Na versão 5.10.0 de McAfee ePO. ServiceNowé exibida com um log de comandos iniciados no Now Platform®instância. Depois que uma ação ou uma consulta é invocada a partir de um perfil no Now Platform®em uma máquina host (endpoint) no McAfee ePOconsole, um log de auditoria de ServiceNowos comandos são criados no McAfee ePOconsole. Este log é exibido na árvore do sistema no McAfee ePOe ajuda você a auditar os horários dos comandos enviados para endpoints específicos. Para exibir registrado ServiceNoweventos em máquinas específicas em a. McAfee ePOconsole, siga estas etapas.

    1. Navegue até a árvore do sistema no McAfee ePOe localize o. ServiceNow.
    2. Clique na guia para abrir uma lista de máquinas host.
    3. Na coluna Nome, clique em um nome de host para abrir o log de auditoria.

    Na imagem a seguir, um exemplo de log de um host ( PODCLIENT1 ) é exibido.

    Figura 1. PODClient
    Árvore do sistema no console do ePO

    Os eventos iniciados a partir dos perfis em Now Platform®as instâncias são registradas e exibidas no log. Verifique o status da máquina host se os eventos listados no log foram concluídos com sucesso no host.

    Perfis de exemplo

    Os tópicos a seguir incluem exemplos de como configurar perfis e testar incidentes de segurança. Esses exemplos incluem perfis para todos os McAfee ePOcapacidades disponíveis para esta integração.