프로필을 만들고 프로필을 실행할 기능을 선택한 McAfee ePO 후 특정 조건 집합이 충족되는 경우에만 실행되도록 프로필의 설정을 구성합니다.

보안 인시던트와 일치하는 기본 필드 값에 따라 프로필이 자동으로 실행되도록 이러한 트리거 조건을 유연하게 설정할 수 있습니다 Now Platform® 보안 인시던트 응답 . 또는 보안 인시던트에서 구체적으로 식별하는 필드 값과 일치하는 항목을 검색하도록 프로필을 설정할 수 있습니다.

통합 기능 및 프로필 작동 방식의 핵심 중 하나는 (SIR) 보안 인시던트의 CI(구성 항목) 필드입니다 Now Platform® 보안 인시던트 응답 . 이 필드의 값은 보안 인시던트의 원칙 값입니다. 이 값은 자산의 ID를 데이터베이스에 저장된 Now Platform® 정보와 일치시키는 데 사용됩니다. SIR 보안 이벤트에 의해 보안 인시던트가 생성되고 프로파일이 활성화되면 구성 항목 필드의 값을 기준으로 자산에서 FQDN(정규화된 도메인 이름), 호스트 이름 또는 IP 주소와 일치하는 값이 있는지 검색합니다.

이상적인 경우, 일치하는 값이 데이터베이스에 있고, 일치하는 자산에 대한 데이터를 콘솔에서 McAfee ePO 수집하여 인스턴스로 Now Platform® 끌어와 보안 인시던트의 관련 목록에 표시할 수 있습니다. 다음 그림은 보안 인시던트에서 호스트 이름으로 SIR 채워진 구성 항목 필드의 예를 보여줍니다.

CI(구성 항목) 필드가 보안 인시던트에 채워지지 않았거나 데이터베이스와 일치하는 FQDN, 호스트 이름 또는 IP 주소와 일치하는 항목을 찾을 수 없는 경우 보안 인시던트에서 대체 필드를 선택하여 자산 스캔 중에 발견된 일치하는 CI 보강 데이터를 표시할 수 있습니다.

프로파일 설정의 구성 단계에서 엔드포인트 식별을 위한 대체 CI 트리거 필드를 선택하여 조회의 CI 보강 데이터가 McAfee ePO 관련 보안 인시던트에 채워지도록 할 수 있습니다. 보안 인시던트의 모든 필드를 대체 CI 트리거 필드로 선택할 수 있으며, 직접 만든 사용자 지정 필드도 선택할 수 있습니다. 이 대체 CI 필드를 백업으로 선택하면 인시던트 작성 시 관련 보안 인시던트에 CI 필드가 채워지지 않은 경우에도 프로파일을 실행할 수 있습니다.

예를 들어 SOC(보안 운영 센터) 분석가는 내 보안 인시던트에 대한 IP 주소라는 보안 인시던트에 대한 사용자 지정 필드를 만듭니다. 인시던트 생성 시 이 사용자 지정 필드의 값이 보안 인시던트의 구성 항목 필드에 표시되지 않을 것으로 생각되면 이 IP 주소를 검색하도록 프로필을 설정할 수 있습니다. 일치하는 경우 선택한 필드의 보안 인시던트에 IP 주소가 표시됩니다. 다음 그림에서는 식별된 CI 필드가 이 예에서 IP 주소의 대체 필드로 선택되었습니다.

다음 그림에서는 워크플로우의 첫 번째 검색에서 구성 항목과 일치하는 항목을 검색하는 방법을 보여 줍니다. 대체 CI 트리거 필드가 활성화된 경우 두 번째 검색에서는 대체 값과 일치하는 항목이 있는지 검색합니다.

CI 필드나 대체 CI 필드에 대해 일치하는 ID가 없으면 작업 메모가 기록되고 보안 인시던트에 메시지가 표시됩니다. 일치하는 항목이 없으면 이벤트와 관련된 보안 인시던트에 향상된 데이터가 채워지지 않습니다.

대체 CI 트리거 필드를 활성화하고 프로필의 구성 단계 중에 일치하는 ID를 표시할 필드를 선택합니다. 대체 CI 필드를 활성화하기 위한 이 단계는 의 다른 프로필 구성 요구 사항과 함께 설명되어 있습니다 통합을 위한 McAfee ePO 프로파일 구성.