McAfee ePO 統合のシステム拡張クエリに対するプロファイルとセキュリティインシデントの構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • 設定した条件でのみプロファイルがトリガーされるように、プロファイル設定を構成します。

    始める前に

    必要なロール:Now Platform® セキュリティインシデントアドミン (sn_si_admin)

    このタスクについて

    プロファイルに対して選択した McAfee ePO 機能を自動的にトリガーする条件を定義します。[構成アイテム] (CI) フィールドの代替入力フィールドを選択することもできます。この代替フィールドでは、トリガーイベントに関連するセキュリティインシデントのみが自動的にプロファイルをトリガーするように、フィルタリング条件を設定できます。

    手順

    1. [構成] ページが表示されない場合は、進捗状況バーで [構成] をクリックします。
    2. フォームの各フィールドに入力します。
      オプション説明
      代替 CI トリガーフィールドを有効にする 代替構成アイテム (CI) トリガーフィールド。デフォルトはクリアされています。

      このチェックボックスをオフにしてオプションを無効にすると、[CI] フィールドに対する代替のフィールドは識別されません。無効な場合は、SIR セキュリティインシデントで [CI] フィールドの値を入力する必要があります。このフィールドの値が McAfee ePO コンソールで認識されないと、プロファイルが拡張データを収集しません。

      インシデントの作成時に [CI] フィールドが入力されなくても、セキュリティインシデントの別のフィールドに CI 情報が入力されると思われる場合は、このチェックボックスをオンにします。このオプションを有効にすると、[代替 CI トリガー] フィールド選択リストが表示されます。選択リストから代替フィールドを選択して、CI 検索条件を確認します。

      代替 CI トリガーフィールドの詳細については、「McAfee ePO のプロファイルの構成アイテム (CI) フィールドを使用したトリガー条件の定義」を参照してください。
      タグを表示 セキュリティタグはセキュリティインシデントに表示されます。デフォルトはクリアされています。

      このチェックボックスをオフにしてタグ付けオプションを無効にすると、構成フォームにセキュリティタグ名が表示されず、関連のセキュリティインシデントにタグが表示されません。この例では、セキュリティタグのオプションが無効になっています。
      インシデントに基づく自動トリガー フィルター条件。デフォルトはクリアされています。

      チェックボックスをオフにしてオプションを無効にすると、プロファイルをセキュリティインシデントから手動で呼び出す必要があります。

      このオプションを有効にすると、フィルター条件ビルダーが表示されます。フィルター条件を設定して、インシデントの作成時にプロファイルを自動的に実行するタイミングを指定する必要があります。

      拡張クエリを実行するプロファイルのフィルターの例としては、[カテゴリ] が [悪意のあるコードアクティビティ] と [ビジネスインパクト] [次の値に等しい (is)] [1-重大] というものが一般的です。これらのフィルター条件によって、特定のタイプのセキュリティイベントに関連するインシデントを見つけやすくなり、レビューする必要があるセキュリティインシデントの数を制限しやすくなります。

      設定したフィルター設定は変更しない限りは保存されたままになり、インシデントのプレビューとテストの構成手順で編集できます。
      承認が必要 承認要求オプション。デフォルトはクリアされています。

      この承認オプションは任意のプロファイルで使用できます。通常、承認はホスト隔離やマルウェアスキャンなどのアクションを呼び出す機能に使用されます。

      チェックボックスをオフにしてこのオプションを無効すると、承認要求は送信されません。この例では、システム拡張クエリに事前の権限は必要ありません。
      McAfee 機能プロファイルの設定
    3. 代替 CI フィールドオプションを有効にし、このプロファイルを自動的に呼び出すフィルター条件を設定するには、次の手順を実行します。
      1. [代替 CI トリガーフィールドを有効にする] チェックボックスをオンにします。
        代替 CI トリガーフィールドが表示されます。この例では、sn_si.admin ロールを持つユーザーは、インシデントの作成時にセキュリティインシデントで [CI] フィールドに値が入力されないと考えています。一方、FQDN、ホスト名、または IP アドレスの CI 情報がセキュリティインシデントの [識別された CI] フィールドに入力されると考えているため、[CI] フィールドの代わりに [識別された CI] フィールドを選択します。この例では [識別された CI] を選択しますが、セキュリティインシデントのフィールドであればどれでも代替 CI として使用できます。
      2. 表示される [代替 CI トリガーフィールド] 選択リストから、[識別された CI] フィールドを選択します。

        カスタムフィールドを含む、セキュリティインシデントで利用可能なすべてのフィールドが、リストに表示されます。[代替 CI トリガーフィールド] に、[識別された CI] が表示されます。

        このプロファイルが呼び出され、イベントの最初のトリガー時に関連するセキュリティインシデントで [CI] フィールドが入力されていない場合、プロファイルは代わりに [識別された CI] フィールドの値を検索で使用します。

      3. [インシデントに基づく自動トリガー] チェックボックスをオンにします。
        フィルター条件ビルダーが表示されます。このオプションでは、フィルター条件を設定し、セキュリティインシデントの作成時にプロファイルが自動的に呼び出されるタイミングを指定します。
      4. この特定のプロファイルに対して ePO 機能を自動的にトリガーする SIR インシデント条件を定義します。
      5. エンドポイントでアクションを実行するプロファイル機能に承認が必要な場合は、[承認が必要] チェックボックスをオンにします。
      6. 検索アイコンを使用して承認を選択します。
    4. [完了] をクリックします。
      インシデントの作成時にプロファイルが自動的にトリガーされ、一致する CI 結果の入力の際に代替フィールドが使用されるように、プロファイルが正しく構成されました。