통합을 위한 시스템 보강 쿼리 McAfee ePO 에 대한 프로필 및 보안 인시던트 구성

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기3분

    • 설정한 조건에서만 프로필이 트리거되도록 프로필 설정을 구성합니다.

    시작하기 전에

    필요한 역할: Now Platform® 보안 인시던트 관리자(sn_si.admin)

    이 태스크 정보

    프로파일에 McAfee ePO 대해 선택한 기능을 자동으로 트리거하는 조건을 정의합니다. CI(구성 항목) 필드에 대한 대체 입력 필드를 선택할 수도 있습니다. 이 대체 필드에서는 트리거 이벤트와 관련된 보안 인시던트만 프로파일을 자동으로 트리거하도록 필터링 조건을 설정할 수 있습니다.

    프로시저

    1. 구성 페이지가 표시되지 않으면 진행률 표시줄에서 구성을 클릭합니다.
    2. 양식에서 필드를 채웁니다
      옵션설명
      대체 CI 트리거 필드 사용 대체 CI(구성 항목) 트리거 필드입니다. 기본값은 지워져 있습니다.

      이 확인란의 선택을 취소하고 대체 CI 트리거 필드 옵션을 비활성화하면 CI 필드에 대한 대체가 식별되지 않습니다. 사용하지 않도록 설정하면 보안 인시던트의 CI 필드 값을 채워 SIR 야 하며, 프로파일이 보강 데이터를 수집하기 전에 콘솔에서 필드의 값을 인식 McAfee ePO 해야 합니다.

      인시던트 생성 시 CI 필드가 채워지지 않고 CI 정보가 보안 인시던트의 다른 필드에 채워질 것으로 예상되는 경우 이 확인란을 선택합니다. 이 옵션을 활성화하면 대체 CI 트리거 필드 선택 목록이 표시됩니다. 선택 목록에서 대체 필드를 선택하여 CI 검색 기준을 확인합니다.

      대체 CI 트리거 필드에 대한 자세한 내용은 다음 문서를 참조하십시오 프로파일의 CI(구성 항목) 필드를 McAfee ePO 사용하여 트리거 조건 정의.
      태그 표시 보안 태그는 보안 인시던트에 표시됩니다. 기본값은 지워져 있습니다.

      이 확인란의 선택을 취소하고 태그 지정 옵션을 비활성화하면 구성 양식에 보안 태그 이름이 표시되지 않고 관련 보안 인시던트에도 태그가 표시되지 않습니다. 이 예에서는 보안 태그 옵션이 비활성화되어 있습니다.
      인시던트를 기반으로 자동 트리거 필터 조건. 기본값은 지워져 있습니다.

      확인란의 선택을 취소하고 옵션을 사용하지 않도록 설정하면 보안 인시던트에서 프로필을 수동으로 호출해야 합니다.

      이 옵션을 사용하면 필터 조건 작성기가 표시됩니다. 인시던트 생성 시 프로파일이 자동으로 실행되는 시기를 지정하려면 필터링 조건을 설정해야 합니다.

      보강 쿼리를 실행하는 프로필에 대한 필터의 일반적인 예는 범주가 악성 코드 활동이고비즈니스 영향이 1-중요입니다. 이러한 필터 조건은 특정 유형의 보안 이벤트와 관련된 인시던트를 찾는 데 도움이 되며 검토해야 하는 보안 인시던트 수를 제한하는 데 도움이 됩니다.

      이러한 필터 설정은 변경할 때까지 저장된 상태로 유지되며, 구성의 미리 보기 및 테스트 인시던트 단계에서 편집할 수 있습니다.
      승인 필요 승인 요청 옵션입니다. 기본값은 지워져 있습니다.

      이 승인 옵션은 모든 프로파일에 사용할 수 있습니다. 일반적으로 승인은 호스트 격리 및 맬웨어 검사와 같은 작업을 호출하는 기능에 사용됩니다.

      확인란의 선택을 취소하고 이 옵션을 비활성화하면 승인 요청이 제출되지 않습니다. 이 예제에서는 시스템 보강 쿼리에 사전 권한이 필요하지 않습니다.
      McAfee 역량 프로파일 구성
    3. 대체 CI 필드 옵션을 활성화하고 이 프로파일을 자동으로 호출하는 필터링 조건을 설정하려면 다음 단계를 수행하십시오.
      1. 대체 CI 트리거 필드 사용 확인란을 선택합니다.
        대체 CI 트리거 필드가 표시됩니다. 이 예에서는 sn_si.admin 역할의 사용자로서 인시던트 생성 시 보안 인시던트의 CI 필드가 채워지지 않을 것으로 생각합니다. 또는 FQDN, 호스트 이름 또는 IP 주소에 대한 CI 정보가 보안 인시던트의 식별된 CI 필드에 채워질 것으로 생각되어 식별된 CI 필드를 대안으로 선택합니다. 이 예에서는 식별된 CI가 선택되었지만 대체 CI에 대한 보안 인시던트의 모든 필드를 사용할 수 있습니다.
      2. 표시되는 대체 CI 트리거 필드 선택 목록에서 식별된 CI 필드를 선택합니다.

        사용자 지정 필드를 포함하여 보안 인시던트에 사용 가능한 모든 필드가 목록에 표시됩니다. 대체 CI 트리거 필드에는 식별된 CI 가 표시됩니다.

        이 프로파일이 호출되고 초기 이벤트 트리거 시 연결된 보안 인시던트의 CI 필드가 채워지지 않은 경우 프로파일은 검색에서 식별된 CI 필드의 값을 대신 사용합니다.

      3. 인시던트를 기반으로 자동 트리거 확인란을 선택합니다.
        필터 조건 작성기가 표시됩니다. 이 옵션을 사용하여 필터링 조건을 설정하고 보안 인시던트 생성 시 프로파일이 자동으로 호출되는 시기를 지정합니다.
      4. 이 특정 프로파일에 대해 선택된 ePO 역량을 자동으로 트리거하는 SIR 인시던트 조건을 정의합니다.
      5. 엔드포인트에서 작업을 실행하는 프로필 기능에 승인이 필요한 경우 승인 필요 확인란을 선택합니다.
      6. 검색 아이콘을 사용하여 승인을 선택합니다.
    4. 마침을 클릭합니다.
      인시던트 작성 시 자동으로 트리거되고 대체 필드를 사용하여 일치하는 CI 결과를 채우도록 프로파일을 성공적으로 구성했습니다.