McAfee ePO 統合のためのプロファイルの構成

ワシントンDCのセキュリティ管理

Release

washingtondc

ft:locale

ja-JP

ft:publication_title

ワシントンDCのセキュリティ管理

ft:clusterId

security

bundleId

security

workflow

Technology

McAfee ePO 統合のためのプロファイルの構成

リリースバージョン: Washingtondc

更新日 2024年02月01日

読む5読むのに数分

プロファイルを作成し、そのプロファイルで実行する McAfee ePO 機能を選択したら、自分が定義した特定の条件でのみプロファイルが呼び出されるように設定を構成します。

プロファイルの設定

このステップでは、指定した条件が満たされた場合にのみ実行されるように機能プロファイルを構成します。そのプロファイルに対して自分が選択した McAfee ePO 機能を自動的にトリガーするセキュリティインシデントの条件を定義します。[構成アイテム (CI)] フィールドに対して代替フィールドを選択し、トリガーイベントに関連するセキュリティインシデントのみが自動的にプロファイルを起動するようにフィルタリング条件を設定することもできます。この構成手順では、プロファイルに対して次のように構成フォームを設定します。

代替構成アイテム (CI) トリガーフィールド

Now Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントの [構成アイテム (CI)] フィールドに値が入力されていない場合、またはデータベース内に一致が見つからない場合は、セキュリティインシデントの代替フィールドを選択して、資産のスキャン中に見つかった一致する CI 拡張データを表示できます。セキュリティインシデントの [構成アイテム] および [代替構成アイテム] フィールドの詳細については、「McAfee ePO のプロファイルの構成アイテム (CI) フィールドを使用したトリガー条件の定義」を参照してください。

セキュリティタグ

隔離されたホストマシンのステータスを追跡し、マルウェアスキャンがいつ開始されたかを追跡するには、オプションのタグ付け機能を利用します。デフォルトでは、プロファイルの構成フォームではこのオプションが無効になっています。構成手順の過程でこのオプションを有効にすると、セキュリティタグ名が構成フォームに表示されます。表示される名前は、関連するセキュリティインシデントに表示されるタグの名前です。これらのタグにより、ホスト隔離アクションが正常に開始されたときと承認されたときに通知が行われます。ホストが正常にネットワークに戻ると、セキュリティインシデントからセキュリティタグが自動的に削除されます。マルウェアスキャンの場合、スキャンのスケジュールが設定されると、関連するセキュリティインシデントにタグが表示されます。スキャンが終了すると、スケジュール設定済みのタグが、スキャンが正常に完了したことを示すタグに自動的に置き換わります。

インシデントに基づく自動トリガー

[インシデントに基づく自動トリガー] オプションが有効になっている場合は、フィルター条件ビルダーが利用可能であるため、プロファイルを自動的に実行するタイミングを指定するフィルター条件を設定する必要があります。一般的なフィルターは、[カテゴリ] が [悪意のあるコードアクティビティ™] で [ビジネスへの影響度] が [1-重大™] です。この 2 つのフィルターを使用すると、悪意のあるコードに関連していてビジネスに重大な影響を与えるセキュリティインシデントのみがプロファイルを起動します。自動トリガーオプションを使用すると、プロファイルを自動的に呼び出すセキュリティインシデントの数を減らすことができます。

承認

ホストマシンの隔離やマルウェアスキャンの開始といったアクションをより細かく制御する必要がある場合は、プロファイルの構成時に [承認が必要] オプションを有効にします。

たとえば、あるプロファイルに対して承認機能とタグ付け機能の両方が有効になっている場合、ホストマシンを隔離する要求やネットワークに戻す要求が承認のために送信されると、関連するセキュリティインシデントが自動的にタグ付けされ、アクションが開始されます。デフォルトでは、要求は sn_si.admin ロールを持つユーザーに承認のために送信されますが、組織のニーズに合わせてこの承認作業を別の個人や承認グループに再アサインすることができます。承認者は、Now Platform® インスタンスの [自分の承認] で要求を処理します。セキュリティタグは関連するセキュリティインシデントに表示されます。すべてのワークフローアクティビティは、作業メモにも監査記録の作成のため記録されます。

McAfee ePO コンソールの ServiceNow 監査ログ

McAfee ePOのバージョン 5.10.0 では、ServiceNow タブが表示され、Now Platform® インスタンスから開始されたコマンドのログがそこに示されます。McAfee ePO コンソールのホストマシン (エンドポイント) で Now Platform® インスタンスのプロファイルからアクションまたはクエリが呼び出されると、McAfee ePO コンソールに ServiceNow コマンドの監査ログが作成されます。このログは McAfee ePO コンソールの [システムツリー] に表示され、特定のエンドポイントに送信されたコマンドの時間を監査するために役立ちます。特定のマシンでログに記録された ServiceNow イベントを McAfee ePO コンソールで表示するには、次の手順を実行します。

McAfee ePO コンソールの [システムツリー] に移動し、ServiceNow タブを探します。
タブをクリックすると、ホストマシンのリストが開きます。
[名前] 列で、ホスト名をクリックして監査ログを開きます。

次の画像は、ホスト (PODCLIENT1) のログの例を示しています。

Now Platform® インスタンスのプロファイルから開始されたイベントが記録され、ログに表示されます。ホストマシンのステータスを調べて、ログに一覧表示されるイベントがホスト上で正常に完了したことを確認します。

プロファイルの例

次のトピックでは、プロファイルを構成してセキュリティインシデントをテストする方法の例を説明します。これらの例では、この統合で利用可能なすべての McAfee ePO 機能のプロファイルを使用します。