통합을 위한 McAfee ePO 프로파일 구성

워싱턴 DC 보안 관리

Release

washingtondc

ft:locale

ko-KR

ft:publication_title

워싱턴 DC 보안 관리

ft:clusterId

security

bundleId

security

workflow

Technology

통합을 위한 McAfee ePO 프로파일 구성

릴리스 버전: Washingtondc

업데이트 날짜 2024년 02월 01일

읽기3분

프로필을 만들고 프로필을 실행할 기능을 선택한 McAfee ePO 후 정의한 특정 조건에서만 프로필이 호출되도록 설정을 구성합니다.

프로필 구성

이 단계에서는 지정한 조건이 충족되는 경우에만 실행되도록 역량 프로파일을 구성합니다. 프로필에 대해 선택한 기능을 자동으로 트리거 McAfee ePO 하는 보안 인시던트의 조건을 정의합니다. 또한 CI(구성 항목) 필드에 대한 대체 입력 필드를 선택하고 필터링 조건을 설정하여 트리거 이벤트와 관련된 보안 인시던트만 프로필을 자동으로 시작하도록 할 수 있습니다. 구성 단계에는 프로필의 구성 양식에 대한 다음 설정이 포함됩니다.

대체 구성 항목(CI) 트리거 필드

(SIR) 보안 인시던트의 CI(구성 항목) 필드에 Now Platform® 보안 인시던트 응답 값이 채워지지 않았거나 데이터베이스에서 일치하는 항목을 찾을 수 없는 경우 보안 인시던트에서 대체 필드를 선택하여 자산 스캔 중에 발견된 일치하는 CI 보강 데이터를 표시할 수 있습니다. 보안 인시던트의 구성 항목 및 대체 구성 항목 필드에 대한 자세한 내용은 다음 문서를 참조하십시오 프로파일의 CI(구성 항목) 필드를 McAfee ePO 사용하여 트리거 조건 정의.

보안 태그

격리된 호스트 시스템의 상태를 추적하고 맬웨어 검사가 시작될 때 도움이 되도록 선택적 태그 지정 기능을 사용할 수 있습니다. 기본적으로 이 옵션은 프로필의 구성 양식에서 비활성화되어 있습니다. 구성 단계에서 이 옵션을 사용하도록 설정하면 구성 양식에 보안 태그 이름이 표시됩니다. 관련 보안 인시던트에 표시되는 태그의 이름입니다. 이러한 태그는 호스트 분리 작업이 성공적으로 시작되고 승인될 때를 알려줍니다. 호스트가 네트워크에 성공적으로 반환되면 보안 태그가 보안 인시던트에서 자동으로 제거됩니다. 맬웨어 검사의 경우 검사가 예약되면 관련 보안 인시던트에 태그가 표시됩니다. 스캔이 완료되면 예약된 태그가 스캔이 성공적으로 완료되었음을 나타내는 태그로 자동 대체됩니다.

인시던트를 기반으로 자동 트리거

인시던트를 기반으로 자동 트리거 옵션을 활성화하면 필터 조건 작성기를 사용할 수 있으며, 프로필이 자동으로 실행되는 시기를 지정하는 필터링 조건을 설정해야 합니다. 일반적인 필터는 범주가 악성 코드 활동이고™비즈니스 영향이 1 - 위험입니다™. 이러한 필터를 사용하면 악성 코드와 관련이 있고 비즈니스에 중대한 영향을 미치는 보안 인시던트만 프로파일을 시작합니다. 자동 트리거 옵션을 사용하면 프로필을 자동으로 호출하는 보안 인시던트 수를 줄일 수 있습니다.

승인

조직에서 호스트 컴퓨터 격리 및 맬웨어 검사 시작과 같은 작업에 대한 추가 수준의 제어를 원하는 경우 프로필 구성 단계에서 승인 필요 옵션을 활성화할 수 있습니다.

예를 들어 프로필에 대해 승인 및 태그 지정 기능을 모두 사용하도록 설정한 경우 호스트 컴퓨터를 격리하거나 네트워크로 반환하는 요청이 승인을 위해 제출된 후 작업이 시작될 때 연결된 보안 인시던트에 자동으로 태그가 지정됩니다. 승인 요청은 기본적으로 sn_si.admin 역할을 가진 사용자에게 전송되지만 이 승인은 조직의 필요에 맞게 다른 개인 또는 승인 그룹에 다시 할당할 수 있습니다. 승인자는 인스턴스 Now Platform® 의 내 승인에서 요청을 처리합니다. 보안 태그는 관련 보안 인시던트에 표시됩니다. 모든 워크플로우 활동은 감사 추적을 생성하기 위해 작업 메모에도 기록됩니다.

ServiceNow 콘솔의 McAfee ePO 감사 로그

버전 5.10.0 McAfee ePOServiceNow 에서는 인스턴스에서 Now Platform® 시작된 명령 로그와 함께 탭이 표시됩니다. 콘솔의 호스트 머신(엔드포인트)McAfee ePO에 있는 인스턴스의 Now Platform® 프로파일에서 작업 또는 쿼리를 호출하면 콘솔에 McAfee ePO 명령의 ServiceNow 감사 로그가 생성됩니다. 이 로그는 콘솔의 시스템 트리 McAfee ePO 에 표시되며 특정 엔드포인트로 전송되는 명령의 시간을 감사하는 데 도움이 됩니다. 콘솔의 특정 머신에 대해 기록된 ServiceNowMcAfee ePO 이벤트를 보려면 다음 단계를 수행합니다.

콘솔에서 McAfee ePO 시스템 트리로 이동하여 탭을 찾습니다 ServiceNow .
탭을 클릭하여 호스트 시스템 목록을 엽니다.
이름 열에서 호스트 이름을 클릭하여 감사 로그를 엽니다.

다음 이미지에는 호스트(PODCLIENT1)에 대한 로그의 예가 표시됩니다.

인스턴스의 프로파일 Now Platform® 에서 시작된 이벤트가 기록되고 로그에 표시됩니다. 호스트 컴퓨터의 상태를 검사하여 로그에 나열된 이벤트가 호스트에서 성공적으로 완료되었는지 확인합니다.

예제 프로파일

다음 항목에는 프로필을 구성하고 보안 인시던트를 테스트하는 방법의 예가 포함되어 있습니다. 이러한 예시에는 이 통합에 McAfee ePO 사용할 수 있는 모든 역량에 대한 프로파일이 포함되어 있습니다.