Ein Profil wird konfiguriert

In diesem Schritt konfigurieren Sie ein Fähigkeitsprofil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Sie definieren, welche Bedingungen in Security Incidents automatisch die Fähigkeiten McAfee ePO auslösen, die Sie für das Profil ausgewählt haben. Sie haben auch die Möglichkeit, ein alternatives Eingabefeld für das Feld Configuration Item (CI) auszuwählen und Filterbedingungen so festzulegen, dass das Profil nur von den Security Incidents automatisch gestartet wird, die mit dem auslösenden Ereignis in Zusammenhang stehen. Der Konfigurationsschritt enthält die folgenden Einstellungen im Konfigurationsformular für das Profil.

Alternatives Auslöserfeld für Configuration Item (CI).

In Fällen, in denen das Feld Configuration Item (CI) im Security Incident Now Platform® Security Incident Response (SIR) nicht mit einem Wert ausgefüllt ist oder keine Übereinstimmung in der Datenbank gefunden werden kann, können Sie ein alternatives Feld im Security Incident auswählen, um ein beliebiges anzuzeigen übereinstimmende CI-Ergänzungsdaten, die bei der Prüfung Ihrer Assets gefunden wurden. Weitere Informationen zu den Feldern Konfigurationselement und Alternatives Konfigurationselement in einem Security Incident finden Sie unter Definieren von Auslösebedingungen mit einem Feld Configuration Item (CI) für ein McAfee ePO -Profil.

Sicherheits-Tags

Damit Sie den Status isolierter Hostcomputer nachverfolgen können und wenn Malware-Scans initiiert werden, ist eine optionale Tagging-Funktion verfügbar. Standardmäßig ist diese Option im Konfigurationsformular für Profile deaktiviert. Wenn diese Option während des Konfigurationsschritts aktiviert wird, werden Sicherheits-Tag-Namen im Konfigurationsformular angezeigt. Dies sind die Namen der Tags, die für zugehörige Security Incidents angezeigt werden. Diese Tags informieren Sie, wenn eine Hostisolierungsaktion erfolgreich initiiert und genehmigt wurde. Nachdem ein Host erfolgreich an das Netzwerk zurückgegeben wurde, wird das Sicherheits-Tag automatisch aus dem Security Incident entfernt. Bei Malware-Scans wird ein Tag für den zugehörigen Security Incident angezeigt, wenn ein Scan geplant wird. Nach Abschluss des Scanvorgangs wird das geplante Tag automatisch durch ein Tag ersetzt, das angibt, dass der Scanvorgang erfolgreich abgeschlossen wurde.

Automatischer Auslöser basierend auf Incident

Wenn die Option Auf Incident automatisch auslösen aktiviert ist, ist der Generator für Filterbedingungen verfügbar, und Sie müssen Filterbedingungen festlegen, die angeben, wann das Profil automatisch ausgeführt wird. Ein gängiger Filter ist „Kategorie ist schädliche Codeaktivität“™ und „Geschäftsauswirkung“ ist „1 – Kritisch“™. Mit diesen Filtern wird das Profil nur bei Security Incidents gestartet, die mit schädlichem Code zusammenhängen und kritische Geschäftsauswirkungen haben. Mit der Option Automatisch auslösen können Sie die Anzahl der Security Incidents reduzieren, die das Profil automatisch aufrufen.

Genehmigungen

Wenn Ihre Organisation eine zusätzliche Kontrolle über Aktionen wie das Isolieren von Hostcomputern und das Initiieren von Malware-Scans haben möchte, können Sie die Option Genehmigung erforderlich während des Konfigurationsschritts für ein Profil aktivieren.

Wenn beispielsweise sowohl die Genehmigungs- als auch die Tagging-Funktion für ein Profil aktiviert sind und eine Anforderung zur Isolierung oder Rückgabe eines Hostcomputers an das Netzwerk zur Genehmigung übermittelt wurde, wird der zugehörige Security Incident automatisch mit einem Tag versehen und die Aktion initiiert. Anforderungen werden standardmäßig zur Genehmigung an einen Benutzer mit der Rolle sn_si.admin gesendet. Diese Genehmigung kann jedoch entsprechend den Anforderungen Ihres Unternehmens einer anderen Person oder Genehmigungsgruppe zugewiesen werden. Genehmiger verarbeiten Anforderungen in „ Meine Genehmigungen “ in ihren Now Platform® -Instanzen. Sicherheits-Tags werden für zugehörige Security Incidents angezeigt. Alle Workflow-Aktivitäten werden auch in Arbeitsnotizen protokolliert, um einen Audit-Pfad zu erstellen.

ServiceNow Audit-Protokoll in der McAfee ePO -Konsole

In Version 5.10.0 von McAfee ePOwird die Registerkarte ServiceNow mit einem Protokoll der Befehle angezeigt, die von der Instanz Now Platform® aus initiiert werden. Nachdem eine Aktion oder eine Abfrage aus einem Profil in Ihrer Instanz Now Platform® auf einem Hostcomputer (Endpunkt) in der Konsole McAfee ePO aufgerufen wurde, wird in der Konsole [] ein Audit-Protokoll mit Befehlen ServiceNowMcAfee ePO erstellt. Dieses Protokoll wird in der Systemstruktur der -Konsole McAfee ePO angezeigt und hilft Ihnen, die Uhrzeiten der Befehle zu überwachen, die an bestimmte Endpunkte gesendet werden. Führen Sie die folgenden Schritte aus, um protokollierte ServiceNow -Ereignisse auf bestimmten Computern in einer McAfee ePO -Konsole anzuzeigen.

1. Navigieren Sie in der Konsole McAfee ePO zur Systemstruktur, und suchen Sie die Registerkarte ServiceNow.
2. Klicken Sie auf die Registerkarte, um eine Liste der Hostcomputer zu öffnen.
3. Klicken Sie in der Spalte Name auf einen Hostnamen, um das Audit-Protokoll zu öffnen.

In der folgenden Abbildung wird ein Beispiel für ein Protokoll für einen Host (PODCLIENT1) angezeigt.

Die von den Profilen in Ihrer Instanz Now Platform® initiierten Ereignisse werden aufgezeichnet und im Protokoll angezeigt. Überprüfen Sie den Status des Hostcomputers, um sicherzustellen, dass die im Protokoll aufgeführten Ereignisse auf dem Host erfolgreich abgeschlossen wurden.

Beispielprofile

Die folgenden Themen enthalten Beispiele zum Konfigurieren von Profilen und zum Testen von Security Incidents. Diese Beispiele enthalten Profile für alle McAfee ePO -Fähigkeiten, die für diese Integration verfügbar sind.