Une fois que vous avez créé un profil et sélectionné les fonctionnalités FireEye que vous souhaitez que le profil exécute, configurez les paramètres du profil afin qu’il ne s’exécute que lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir des conditions de déclenchement afin que le profil s’exécute automatiquement chaque fois qu’un incident de sécurité correspondant à la condition de déclenchement est créé. Si la condition de déclenchement n’est pas définie, ces profils peuvent être exécutés manuellement en cliquant sur le formulaire « Exécuter le(s) profil(s) EDR » sur l’incident de sécurité, puis en sélectionnant le profil.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité. Cette valeur permet de faire correspondre les ID de vos actifs avec les informations stockées dans la CMDB de Now Platform. Lorsqu’un incident de sécurité est créé et qu’un profil est exécuté automatiquement ou manuellement, la CMDB effectue une recherche pour récupérer le nom d’hôte et/ou l’adresse IP en fonction de la valeur du champ CI. Le nom d’hôte et/ou l’adresse IP sont utilisés pour résoudre l’ID FireEye HX de l’agent afin d’identifier le point de terminaison.

Dans l’idéal, une valeur correspondante est trouvée dans la base de données et les données sont collectées à partir de la FireEye HX console pour l’actif correspondant. Les données des différentes options sont extraites dans votre instance Now Platform et affichées dans les listes connexes d’un incident de sécurité. Lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité contenant soit le nom d’hôte, soit l’adresse IP pour effectuer la résolution de l’ID de l’agent.

Au cours de l’étape de configuration de la configuration du profil, vous pouvez sélectionner un autre champ CI pour l’identification du point de terminaison afin de vous assurer que vous êtes en mesure d’identifier le point de terminaison sur FireEye HX. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant ce champ CI alternatif comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné pour l’incident de sécurité associé lors de la création de l’incident.

Remarque :

Les autres champs CI ne sont pris en compte que pour les options qui peuvent être ajoutées à un profil. Pour toutes les actions supplémentaires, le CI alternatif est sélectionné dans la page des paramètres par défaut.