セキュリティインシデントからの McAfee ePO プロファイルの手動トリガー

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分

    • Now Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントから機能プロファイルを手動でトリガーします。

    始める前に

    必要なロール:sn_si.admin

    注:
    McAfee ePO 統合のためのプロファイルの構成 の承認オプションは、[ホストを隔離] および [ホスト隔離削除] 機能に対してのみ表示されます。

    このタスクについて

    プロファイルで指定したトリガー条件がセキュリティインシデントの条件と一致していれば、マシンの [ホストの詳細を取得]、[ホストマシンの隔離 (Isolate Host machine)]、または [隔離を解除 (Remove Isolation)] の要求を自動的に呼び出すことができます。逆に、要求を手動で送信するには、セキュリティインシデントから直接要求を送信します。

    構成されたトリガー条件に基づいてプロファイルをアクティブ化すると、Now Platform セキュリティインシデントのクエリ結果を表示できます。McAfee ePO 統合により、プロファイルを使用せずに構成アイテム (CI) に対して個々の機能を実行することもできます。

    手順

    1. 次のように移動する。 All (すべて) > セキュリティインシデント > すべてのインシデントを表示.
    2. McAfee ePO 情報で確認するセキュリティインシデントを選択します。
    3. 関連リストのセクションで、[EDR プロファイルを実行] をクリックします。
      図 : 1. McAfee EDR プロファイルを実行
      セキュリティインシデントからのプロファイルの手動トリガー
    4. 利用可能なプロファイルのリストを参照してプロファイルを選択します。
      利用可能なプロファイルのリストは、[ホストの詳細を取得]、[ホストマシンの隔離]、および [隔離の削除] です。たとえば、[ホストの詳細を取得] を選択します。
    5. プロファイルのすべての関連 CI に対してこのプロファイルを実行するには、[関連 CI を含める (Include Related CI)] を選択します。
      たとえば、セキュリティインシデントに 5 つの CI が関連付けられている場合、選択したプロファイルは 5 つの CI すべてに対して実行されます。
    6. [Submit] をクリックします。
      選択したプロファイルは手動でトリガーされます。[作業メモとアクティビティ] セクションを表示し、[作業メモ] セクションのプロファイル開始済みタグとプロファイル完了済みタグを確認できます。
      図 : 2. 自動化アクティビティの作業メモ
      機能タスクが開始され、正常に完了したときの作業メモ
      結果は、[ホストの詳細を取得]、[ホストマシンの隔離 (Isolate Host machine)]、[隔離を削除 (Remove Isolation)] などの関連リストの形式で表示されます。
      注:
      すべての関連リストテーブルはベーステーブルを拡張したものです。この例では、「McAfee ePO システムの詳細 (McAfee EPO System Details)」は、「ホストの詳細」ベーステーブルの拡張テーブルです。
      図 : 3. McAfee 関連リスト
      詳細については、関連リストを確認してください。
    7. 構成アイテム (CI) に対して個々の機能を実行するには、次の手順を実行します。
      1. [構成アイテム] 関連リストで、必要な CI を選択します。
      2. [選択した行のアクション...] ドロップダウンリストをクリックし、選択した CI に対して実行する必要な機能を選択します。
        たとえば [ホストを隔離] などです。
      3. [ホストを隔離] をクリックして、選択した CI に対して実行します。
        選択した CI がネットワークから隔離されます。