Depois de criar um perfil e selecionar McAfee ePO para executar o perfil, defina as configurações do perfil para que ele seja executado somente quando um conjunto de condições específicas for atendido.

Você tem a flexibilidade de definir essas condições de acionamento para que o perfil seja executado automaticamente com base nos valores de campo padrão correspondentes em um ServiceNow AI Platform® Resposta a incidentes de segurança incidente de segurança. Como alternativa, você pode configurar um perfil para que ele pesquise correspondências nos valores de campo que você identifica especificamente no incidente de segurança.

Uma das chaves para a funcionalidade da integração e como um perfil funciona é o campo Item de configuração (IC) no ServiceNow AI Platform® Resposta a incidentes de segurança( SIR incidente de segurança. O valor deste campo é o valor principal em um incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos com as informações armazenadas no ServiceNow AI Platform® banco de dados. . SIR Um incidente de segurança é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados em busca de um valor correspondente para um Nome de domínio totalmente qualificado (FQDN), um nome de host ou um endereço IP com base no valor do campo Item de configuração.

Em um caso ideal, um valor correspondente é encontrado no banco de dados e os dados podem ser coletados do McAfee ePO console do ativo correspondente, inserido em seu ServiceNow AI Platform® e exibidos nas listas relacionadas de um incidente de segurança. A figura a seguir mostra um exemplo do campo Item de configuração preenchido com um nome de host em um SIR incidente de segurança.

Nos casos em que o campo Item de configuração (IC) não estiver preenchido no incidente de segurança ou uma correspondência não puder ser encontrada para um FQDN, um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança para exibir quaisquer dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de gatilho de IC alternativo para identificação de endpoint para garantir que os dados de aprimoramento de IC do sejam fornecidos McAfee ePO a pesquisa é preenchida no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como backup, você garante que seus perfis sejam executados mesmo que o campo IC não esteja preenchido no incidente de segurança associado após a criação do incidente.

Como exemplo, como analista do SOC (Security Operations Center, centro de operações de segurança), você cria um campo personalizado para um incidente de segurança chamado Endereço IP no meu incidente de segurança. Se você acha que o valor desse campo personalizado não será exibido no campo Item de configuração no incidente de segurança após a criação do incidente, configure o perfil para que ele verifique este endereço IP. Se correspondido, o endereço IP será exibido no incidente de segurança no campo de sua escolha. Na figura a seguir, o IC identificado O campo está selecionado como o campo alternativo para o endereço IP deste exemplo.

A figura a seguir ilustra como a primeira pesquisa do fluxo de trabalho verifica correspondências para itens de configuração. Se o campo gatilho de IC alternativo estiver habilitado, a segunda pesquisa verificará correspondências para valores alternativos.

Se IDs correspondentes não forem encontrados para o campo IC ou o campo IC alternativo, uma anotação de trabalho será registrada e uma mensagem será exibida no incidente de segurança. Quando nenhuma correspondência é encontrada, nenhum dado de aprimoramento é preenchido nos incidentes de segurança relacionados ao evento.

Você habilita o campo de gatilho de IC alternativo e seleciona o campo em que deseja exibir o ID correspondente durante a etapa de configuração de um perfil. Esta etapa para habilitar o campo de IC alternativo é descrita junto com os outros requisitos de configuração de perfil em Definir configurações.