Depois de criar um perfil e selecionar os recursos do FireEye que você deseja que o perfil execute, defina as configurações do perfil para que ele seja executado somente quando um conjunto de condições específicas for atendido.

Você pode definir condições do gatilho para que o perfil seja executado automaticamente sempre que um incidente de segurança correspondente à condição do gatilho for criado. Se a condição do gatilho não estiver definida, esses perfis poderão ser executados manualmente clicando no formulário "Executar perfil(s) EDR" no incidente de segurança e selecionando o perfil.

Por padrão, a integração usa o campo Item de configuração (IC) no incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos com as informações armazenadas no CMDB da Now Platform. Quando um incidente de segurança é criado e um perfil é executado automaticamente ou manualmente, o CMDB é pesquisado para recuperar o nome de host e/ou o endereço IP com base no valor do campo IC. O nome do host e/ou IP é usado para resolver o ID do agente em FireEye HX para identificar o endpoint.

Em um caso ideal, um valor correspondente é encontrado no banco de dados e os dados são coletados do FireEye HX console para o ativo correspondente. Os dados de vários recursos são extraídos para seu ServiceNow AI Platform e exibidos nas listas relacionadas de incidentes de segurança. Quando o campo Item de configuração (IC) não é preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança que contém o nome do host ou o IP para executar a resolução do ID do agente.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de IC alternativo para identificação de endpoint para garantir que você consiga identificar o endpoint no FireEye HX. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como backup, você garante que seus perfis sejam executados mesmo que o campo IC não esteja preenchido no incidente de segurança associado após a criação do incidente.

Nota:

Os campos de IC alternativos são considerados somente para recursos que podem ser adicionados a um perfil. Para todas as ações adicionais, o IC alternativo é selecionado na página de configurações padrão.