Definir configurações
Depois de criar um perfil e selecionar McAfee ePO recursos que você deseja que o perfil execute, defina as configurações para que o perfil seja invocado somente sob as condições específicas que você definir.
Configurar um perfil
Nesta etapa, você configura um perfil de capacidade para que ele seja executado somente quando as condições especificadas forem atendidas. Você define quais condições em incidentes de segurança acionam automaticamente o. McAfee ePO recursos que você selecionou para o perfil. Você também tem a opção de selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que somente os incidentes de segurança relacionados ao seu evento de gatilho iniciem automaticamente o perfil. A etapa de configuração inclui as seguintes definições no formulário de configuração do perfil.
Campo de gatilho de item de configuração alternativo (IC)
Nos casos em que o campo Item de configuração (IC) no ServiceNow AI Platform® Resposta a incidentes de segurança( SIR) O incidente de segurança não está preenchido com um valor ou uma correspondência não pode ser encontrada no banco de dados, você pode selecionar um campo alternativo no incidente de segurança para exibir quaisquer dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos. Para obter mais informações sobre os campos Item de configuração e Item de configuração alternativo em um incidente de segurança, consulte Definir condições de acionamento com um campo Item de configuração (IC).
Marcadores de segurança
Para ajudar você a rastrear o status de máquinas host isoladas e quando as verificações de malware são iniciadas, um recurso de marcação opcional está disponível. Por padrão, esta opção está desabilitada no formulário de configuração para perfis. Se esta opção estiver habilitada durante a etapa de configuração, os nomes dos marcadores de segurança serão exibidos no formulário de configuração. Estes são os nomes dos marcadores exibidos em incidentes de segurança relacionados. Esses marcadores informam quando uma ação de isolamento de host é iniciada com sucesso e quando é aprovada. Depois que um host é retornado com sucesso para a rede, o marcador de segurança é removido automaticamente do incidente de segurança. Para verificações de malware, um marcador é exibido no incidente de segurança relacionado quando uma verificação é programada. Após a conclusão da verificação, o marcador programado é substituído automaticamente por um marcador que indica que a verificação foi concluída com sucesso.
Gatilho automático com base no incidente
Quando a opção Acionar automaticamente com base no incidente está habilitada, o construtor de condições de filtro está disponível e você precisa definir condições de filtragem que especificam quando o perfil é executado automaticamente. Um filtro comum é A categoria é uma atividade de código mal-intencionado ™e. O impacto nos negócios é 1 - Crítico ™. Com esses filtros, somente incidentes de segurança relacionados a código mal-intencionado e que têm um impacto crítico nos negócios iniciam o perfil. Usar a opção Acionamento automático pode reduzir o número de incidentes de segurança que invocam automaticamente o perfil.
Aprovações
Se sua organização quiser um nível extra de controle sobre ações como isolar máquinas host e iniciar verificações de malware, você poderá habilitar a opção Exigir aprovação durante a etapa de configuração de um perfil.
Por exemplo, se os recursos de aprovação e marcação estiverem habilitados para um perfil, depois que uma solicitação para isolar uma máquina host ou devolvê-la à rede for enviada para aprovação, o incidente de segurança associado será marcado automaticamente de que a ação foi iniciada. As solicitações são enviadas para aprovação a um usuário com a função sn_si.admin por padrão, mas essa aprovação pode ser reatribuída a outro indivíduo ou a um grupo de aprovação para atender às necessidades da sua organização. Solicitações de processamento de aprovadores em Minhas aprovações em ServiceNow AI Platform® instâncias. Marcadores de segurança são exibidos em incidentes de segurança relacionados. Todas as atividades de fluxo de trabalho também são registradas em anotações de trabalho para criar uma trilha de auditoria.
ServiceNow log de auditoria no McAfee ePO console
Na versão 5.10.0 de McAfee ePO. ServiceNowé exibida com um log de comandos que são iniciados a partir de ServiceNow AI Platform® instância. Depois que uma ação ou uma consulta é invocada a partir de um perfil em seu ServiceNow AI Platform® instância em uma máquina host (endpoint) no McAfee ePO console, um log de auditoria de ServiceNow os comandos são criados no McAfee ePO console. Este log é exibido na árvore do sistema em McAfee ePO e ajuda você a auditar os horários dos comandos enviados para endpoints específicos. Para exibir registrado ServiceNow eventos em máquinas específicas em um McAfee ePO console, siga estas etapas.
- Navegue até a árvore do sistema em seu McAfee ePO e localize ServiceNow guia.
- Clique na guia para abrir uma lista de máquinas host.
- Na coluna Nome, clique em um nome de host para abrir o log de auditoria.
Na imagem a seguir, um exemplo de log para um host ( PODCLIENT1 ) é exibido.
Os eventos iniciados a partir dos perfis em seu ServiceNow AI Platform® as instâncias são registradas e exibidas no log. Verificando o status da máquina host, verifique se os eventos listados no log foram concluídos com sucesso no host.
Perfis de exemplo
Os tópicos a seguir incluem exemplos de como configurar perfis e testar incidentes de segurança. Esses exemplos incluem perfis para todos os McAfee ePO recursos disponíveis para esta integração.