McAfee ePO 統合の機能プロファイルの作成
プロファイルを作成し、そのプロファイルで実行する McAfee ePO 機能を選択します。
始める前に
必要なロール:Now Platform® Security Incident Management者 (sn_si_admin)
このタスクについて
構成のこのステップでは、McAfee ePO の機能のプロファイルを作成します。プロファイルを作成するときは、プロファイルの意図についてよく考えてから McAfee ePO の機能を追加してください。プロファイルを作成するときは、次の表を参照してください。
次の表は、プロファイルで特定のクエリまたはアクションを実行する場合にプロファイルに追加する必要がある機能を示しています。プロファイルを 1 つ作成し、そのプロファイルでホストの詳細に対するクエリを実行したり、マルウェアスキャンを開始したり、隔離を解除したり、ホストマシンを隔離したり、複数のプロファイルを作成してそれぞれに 1 つの機能を持たせたりすることが可能です 。
手順
-
フォームの各フィールドに入力します。
フィールド 説明 名前 McAfee ePO 機能プロファイルの名前。この名前は、プロファイルタイプを識別して説明するのに役立ちます。クエリを実行するプロファイルの例としては「ホストと脅威の詳細 (Host and Threat Details)」があります。この名前は、このプロファイルのデフォルトのセキュリティタグ名でもあります。 説明 プロファイルのアクティビティをより詳しく説明する、プロファイルに関する追加情報。クエリを実行するプロファイルの説明の例としては「システムの詳細に対する脅威の拡張と脅威イベントのリスト (Threat enrichment for system details and a list of threat events)」です。アクションを実行するプロファイルの説明の例は「ホストマシンを隔離する (Isolate host machine)」です。 ソース McAfee ePO サーバーの名前。設定されたサーバーのみが選択リストから使用できます。 McAfee ePO 機能 McAfee ePO プロファイルの機能。McAfee ePO は次の機能をサポートしています。 - ホストの詳細を取得
- ホストプロファイルを隔離 (Isolate Host Profile)
- マルウェアスキャンを開始 (Initiate Malware Scan)
- 隔離を削除
- 脅威イベントのリスト表示 (List Threat Events)
このプロファイルの機能を [利用可能] 列から選択し、それを [選択済み] 列に移動します。
同じプロファイルに [ホストの詳細を取得]、[マルウェアスキャンを開始 (Initiate Malware Scan)]、および [脅威イベントのリスト表示 (List Threat Events)] を追加することはできません。また、同じプロファイルに [隔離を削除] と [ホストを隔離] を追加することはできません。
順序 ワークフローの優先度。デフォルトは 100 です。このフィールドの値は、2 つ以上のプロファイルがトリガー条件を共有する場合にワークフローが実行される順序を示します。 番号が最も小さいワークフローの優先度が最も高くなります。
操作の順序を設定するには、値を入力します。例:100、200、300、400。アクティブ このチェックボックスはデフォルトでオンになっています。これはプロファイルがアクティブであることを示しています。 選択すると、構成手順で指定したフィルター条件に一致するセキュリティインシデントが作成されたときに、プロファイルがアクティブになり、自動的にトリガーされます。
非アクティブな場合、プロファイルは実行されず、リストから呼び出すことはできません。
次のタスク
次のステップは、プロファイルを設定することです。プロファイルの設定を構成する前に、プロファイルとトリガー条件の構成の概念を確認することをお勧めします。詳細については、「McAfee ePO コンソールを セキュリティインシデントレスポンス (SIR) と統合するように設定する」と「McAfee ePO のプロファイルの構成アイテム (CI) フィールドを使用したトリガー条件の定義」を参照してください。