Configurando perfis para a integração McAfee ePO

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Depois de criar um perfil e selecionar os McAfee ePO recursos que você deseja que o perfil execute, defina as configurações para que o perfil seja invocado somente sob as condições específicas definidas por você.

    Configurando um perfil

    Nesta etapa, você configura um perfil de capacidade para que ele seja executado somente quando as condições especificadas forem atendidas. Você define quais condições em incidentes de segurança acionam automaticamente as capacidades McAfee ePO que você selecionou para o perfil. Você também tem a opção de selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento iniciem automaticamente o perfil. A etapa de configuração inclui as seguintes configurações no formulário de configuração do perfil.

    Campo de gatilho de item de configuração (IC) alternativo

    Nos casos em que o campo Item de configuração (IC) no incidente de segurança Now Platform® Resposta a incidentes de segurança (SIR) não estiver preenchido com um valor ou uma correspondência não puder ser encontrada no banco de dados, você poderá selecionar um campo alternativo no incidente de segurança para exibir qualquer dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos. Para obter mais informações sobre o item de configuração e os campos de item de configuração alternativo em um incidente de segurança, consulte Definição de condições de acionamento com um campo de item de configuração (IC) para um perfil McAfee ePO.

    Marcadores de segurança

    Para ajudá-lo a rastrear o status de máquinas host isoladas e quando as verificações de malware são iniciadas, um recurso de marcação opcional está disponível. Por padrão, esta opção está desabilitada no formulário de configuração de perfis. Se esta opção for habilitada durante a etapa de configuração, os nomes dos marcadores de segurança serão exibidos no formulário de configuração. Estes são os nomes dos marcadores exibidos em incidentes de segurança relacionados. Esses marcadores informam quando uma ação de isolamento de host é iniciada com sucesso e quando é aprovada. Depois que um host é retornado à rede com sucesso, o marcador de segurança é removido automaticamente do incidente de segurança. Para verificações de malware, um marcador é exibido no incidente de segurança relacionado quando uma verificação é programada. Depois que a verificação é concluída, o marcador programado é substituído automaticamente por um marcador que indica que a verificação foi concluída com sucesso.

    Acionamento automático com base no incidente

    Quando a opção Acionamento automático com base no incidente está habilitada, o construtor de condições de filtro está disponível e você deve definir as condições de filtragem que especificam quando o perfil é executado automaticamente. Um filtro comum é Categoria - atividade de código mal-intencionado™ e Impacto nos negócios é 1 - Crítico™. Com esses filtros, somente os incidentes de segurança relacionados a código mal-intencionado e que têm um impacto crítico nos negócios iniciam o perfil. Usar a opção de gatilho automático pode reduzir o número de incidentes de segurança que invocam automaticamente o perfil.

    Aprovações

    Se sua organização quiser um nível extra de controle sobre ações como isolar máquinas host e iniciar verificações de malware, você poderá habilitar a opção Exigir aprovação durante a etapa de configuração de um perfil.

    Por exemplo, se os recursos de aprovação e marcação estiverem habilitados para um perfil, depois que uma solicitação para isolar uma máquina host ou devolvê-la à rede for enviada para aprovação, o incidente de segurança associado será marcado automaticamente para que a ação seja iniciada. As solicitações são enviadas para aprovação a um usuário com a função sn_si.admin por padrão, mas essa aprovação pode ser reatribuída a outro indivíduo ou a um grupo de aprovação para atender às necessidades da sua organização. Os aprovadores processam solicitações em Minhas aprovações em suas Now Platform® instâncias. Os marcadores de segurança são exibidos em incidentes de segurança relacionados. Todas as atividades de fluxo de trabalho também são registradas em anotações de trabalho para criar uma trilha de auditoria.

    ServiceNow log de auditoria no console McAfee ePO

    Na versão 5.10.0 de McAfee ePO, uma guia ServiceNow é exibida com um log de comandos que são iniciados a partir da sua instância Now Platform®. Depois que uma ação ou consulta é invocada de um perfil em sua instância Now Platform® em uma máquina host (endpoint) no console McAfee ePO, um log de auditoria de comandos ServiceNow é criado no console McAfee ePO. Este log é exibido na árvore do sistema no console do McAfee ePO e ajuda a auditar os horários dos comandos que são enviados para endpoints específicos. Para exibir eventos ServiceNow registrados em máquinas específicas em um console McAfee ePO, siga estas etapas.

    1. Navegue até a Árvore do sistema no console do McAfee ePO e localize a guia ServiceNow.
    2. Clique na guia para abrir uma lista de máquinas host.
    3. Na coluna Nome, clique em um nome de host para abrir o log de auditoria.

    Na imagem a seguir, é exibido um exemplo de log de um host (PODCLIENT1).

    Figura 1. Cliente PODC
    Árvore do sistema no console do ePO

    Os eventos iniciados a partir dos perfis em sua instância Now Platform® são registrados e exibidos no log. Verifique o status da máquina host se os eventos listados no log foram concluídos com sucesso no host.

    Perfis de exemplo

    Os tópicos a seguir incluem exemplos de como configurar perfis e testar incidentes de segurança. Esses exemplos incluem perfis para todos os recursos McAfee ePO que estão disponíveis para esta integração.