構成アイテムに対するトリガー条件の作用の理解
プロファイルを作成し、そのプロファイルで実行する FireEye 機能を選択したら、一連の特定の条件が満たされた場合にのみ実行されるようにプロファイル設定を構成します。
トリガー条件を設定して、トリガー条件に一致するセキュリティインシデントが作成されるたびにプロファイルが自動的に実行されるようにすることができます。トリガー条件が設定されていない場合は、セキュリティインシデントの [EDR プロファイルを実行] フォームをクリックしてプロファイルを選択することで、これらのプロファイルを手動で実行できます。
デフォルトでは、統合はセキュリティインシデントの構成アイテム (CI) フィールドを使用します。この値は、資産の ID を Now Platform CMDB に格納されている情報と照合するために使用されます。セキュリティインシデントが作成され、プロファイルが自動または手動で実行されると、CI フィールドの値に基づいて CMDB が検索され、ホスト名や IP アドレスが取得されます。ホスト名や IP は、FireEye HX でエージェント ID を解決してエンドポイントを識別するために使用されます。
理想的には、一致する値がデータベースで見つかり、一致する資産に関して FireEye HX コンソールからデータが収集されます。さまざまな機能のデータが ServiceNow AI Platform インスタンスにプルされ、セキュリティインシデントの関連リストに表示されます。セキュリティインシデントの構成アイテム (CI) フィールドにホスト名、またはデータベースと一致する IP アドレスが入力されていない場合は、セキュリティインシデントでホスト名または IP のいずれかを含む代替フィールドを選択して、エージェント ID の解決を実行できます。
プロファイルセットアップの構成手順では、エンドポイント識別用の代替 CI フィールドを選択して、FireEye HX でエンドポイントを識別できるようにすることができます。作成したカスタムフィールドを含む、セキュリティインシデントの任意のフィールドを代替 CI トリガーフィールドとして選択できます。この代替 CI フィールドをバックアップとして選択することで、インシデントの作成時に、関連するセキュリティインシデントに CI フィールドが設定されていない場合でもプロファイルが実行されるようにします。