Konfigurieren Sie Profile und Security Incidents für System-Ergänzungsabfragen für die McAfee ePO -Integration

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie Ihre Profileinstellungen so, dass das Profil nur unter den von Ihnen festgelegten Bedingungen ausgelöst wird.

    Vorbereitungen

    Erforderliche Rolle: Now Platform® Security Incident Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Definieren Sie die Bedingungen, die die Fähigkeiten McAfee ePO, die Sie für das Profil ausgewählt haben, automatisch auslösen. Sie können auch ein alternatives Eingabefeld für das Feld Configuration Item (CI) auswählen. In diesem alternativen Feld können Sie Filterbedingungen festlegen, sodass nur die Security Incidents, die mit dem auslösenden Ereignis zusammenhängen, das Profil automatisch auslösen.

    Prozedur

    1. Wenn die Konfigurationsseite nicht angezeigt wird, klicken Sie in der Fortschrittsleiste auf Configuration (Konfiguration).
    2. Füllen Sie die Felder im Formular aus
      OptionBeschreibung
      Alternatives CI-Auslöserfeld aktivieren Alternatives Auslöserfeld für Configuration Item (CI). Standard ist gelöscht.

      Wenn diese Checkbox deaktiviert ist und die Option für das alternative CI-Auslöserfeld deaktiviert ist, wird keine Alternative für das CI-Feld identifiziert. Wenn diese Option deaktiviert ist, muss ein Wert für das CI-Feld bei einem Security Incident SIR ausgefüllt werden, und der Wert im Feld muss von der Konsole McAfee ePO erkannt werden, bevor das Profil Ergänzungsdaten sammelt.

      Aktivieren Sie dieses Kontrollkästchen, wenn Sie der Meinung sind, dass das CI-Feld bei der Incident-Erstellung nicht ausgefüllt wird, die CI-Informationen jedoch in einem anderen Feld des Security Incident ausgefüllt werden. Wenn diese Option aktiviert ist, wird die Feldauswahlliste Alternative CI-Auslöser angezeigt. Wählen Sie in der Auswahlliste ein alternatives Feld aus, um nach Ihren CI-Suchkriterien zu suchen.

      Weitere Informationen zum alternativen CI-Auslöserfeld finden Sie unter Definieren von Auslösebedingungen mit einem Feld Configuration Item (CI) für ein McAfee ePO -Profil.
      Tags anzeigen Sicherheits-Tags werden für Security Incidents angezeigt. Standard ist gelöscht.

      Wenn dieses Kontrollkästchen deaktiviert ist und die Tagging-Option deaktiviert ist, werden im Konfigurationsformular keine Sicherheits-Tag-Namen angezeigt, und bei zugehörigen Security Incidents werden keine Tags angezeigt. In diesem Beispiel ist die Option für Sicherheits-Tags deaktiviert.
      Automatischer Auslöser basierend auf Incident Filterbedingungen. Standard ist gelöscht.

      Wenn das Kontrollkästchen deaktiviert und die Option deaktiviert ist, muss das Profil manuell über einen Security Incident aufgerufen werden.

      Wenn diese Option aktiviert ist, wird der Filterbedingungsgenerator angezeigt. Sie müssen Filterbedingungen festlegen, um anzugeben, wann das Profil bei der Incident-Erstellung automatisch ausgeführt wird.

      Ein gängiges Beispiel für einen Filter für ein Profil, das Ergänzungsabfragen ausführt, ist „Kategorie“ ist „Böswillige Code-Aktivität“ und „ Geschäftsauswirkung“ ist „1-Kritisch“. Diese Filterbedingungen helfen Ihnen, die Incidents zu finden, die sich auf bestimmte Arten von Sicherheitsereignissen beziehen, und sie helfen Ihnen, die Anzahl der zu überprüfenden Security Incidents zu begrenzen.

      Diese Filtereinstellungen bleiben gespeichert, bis Sie sie ändern, und können während des Vorschau- und Test-Incident-Schritts der Konfiguration bearbeitet werden.
      Genehmigung erforderlich Option „Genehmigung anfordern“. Standard ist gelöscht.

      Diese Genehmigungsoption ist für jedes Profil verfügbar. Normalerweise werden Genehmigungen für Fähigkeiten verwendet, die Aktionen wie Hostisolierung und Malware-Scans aufrufen.

      Wenn das Kontrollkästchen deaktiviert ist und diese Option deaktiviert ist, werden keine Genehmigungsanforderungen übermittelt. In diesem Beispiel ist keine vorherige Berechtigung für Systemanreicherungsabfragen erforderlich.
      Konfigurieren Sie das McAfee-Fähigkeitsprofil
    3. Führen Sie die folgenden Schritte aus, um die Option für das alternative CI-Feld zu aktivieren und die Filterbedingungen festzulegen, unter denen dieses Profil automatisch aufgerufen wird.
      1. Aktivieren Sie das Kontrollkästchen Alternatives CI-Auslöserfeld aktivieren.
        Das Feld Alternative CI-Auslöser wird angezeigt. In diesem Beispiel gehen Sie als Benutzer mit der Rolle sn_si.admin davon aus, dass das CI-Feld bei der Incident-Erstellung im Security Incident nicht ausgefüllt wird. Alternativ gehen Sie davon aus, dass CI-Informationen für einen FQDN, einen Hostnamen oder eine IP-Adresse im Feld Identifiziertes CI des Security Incident ausgefüllt werden, und wählen Sie alternativ das Feld Identifiziertes CI aus. Für dieses Beispiel ist das identifizierte CI ausgewählt. Sie können jedoch jedes Feld im Security Incident für das alternative CI verwenden.
      2. Wählen Sie in der angezeigten Auswahlliste Alternatives CI-Auslöserfeld das Feld Identifiziertes CI aus.

        Alle verfügbaren Felder für den Security Incident werden in der Liste angezeigt, einschließlich aller anwenderdefinierten Felder. Im Feld Alternativer CI-Auslöser wird Identifiziertes CI angezeigt.

        Wenn dieses Profil aufgerufen wird und das CI-Feld im zugeordneten Security Incident beim ersten Event-Auslöser nicht ausgefüllt ist, verwendet das Profil alternativ den Wert aus dem Feld Identifiziertes CI in der Suche.

      3. Aktivieren Sie das Kontrollkästchen Basierend auf Incident automatisch auslösen.
        Der Generator für Filterbedingungen wird angezeigt. Mit dieser Option können Sie Filterbedingungen festlegen und angeben, wann das Profil beim Erstellen eines Security Incident automatisch aufgerufen wird.
      4. Definieren Sie die SIR-Incident-Bedingungen, die die für dieses bestimmte Profil ausgewählten ePO-Fähigkeiten automatisch auslösen.
      5. Wenn die Profilfähigkeiten, die eine Aktion auf einem Endpunkt ausführen, genehmigt werden müssen, aktivieren Sie das Kontrollkästchen Genehmigung erforderlich.
      6. Wählen Sie über das Suchsymbol eine Genehmigung aus.
    4. Klicken Sie auf Fertigstellen.
      Sie haben das Profil erfolgreich konfiguriert, sodass es bei der Incident-Erstellung automatisch ausgelöst wird und ein alternatives Feld zum Ausfüllen übereinstimmender CI-Ergebnisse verwendet wird.