Lösen Sie das Profil McAfee ePO manuell über einen Security Incident aus

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Lösen Sie ein Fähigkeitsprofil manuell aus einem Now Platform Security Incident Response (SIR) Security Incident aus.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Hinweis:
    Die Genehmigungsoption in Profile für die Integration McAfee ePO werden konfiguriert wird nur für die Funktionen Host isolieren und Hostisolierung entfernen angezeigt.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können eine Anforderung zum automatischen Abrufen von Hostdetails, zum Isolieren des Hostcomputers oder zum automatischen Entfernen der Isolation eines Computers aufrufen, wenn die von Ihnen im Profil angegebenen Auslösebedingungen mit den Bedingungen für Security Incidents übereinstimmen. Wenn Sie eine Anforderung manuell übermitteln möchten, können Sie sie alternativ direkt aus einem Security Incident übermitteln.

    Sobald Sie das Profil aktiviert haben, können Sie basierend auf den konfigurierten Auslöserbedingungen die Abfrageergebnisse in den Security Incidents Now Platform anzeigen. McAfee ePO Mit Integrationen können Sie auch einzelne Fähigkeiten für Configuration Items (CIs) ausführen, ohne ein Profil zu verwenden.

    Prozedur

    1. Navigieren zu Alle > Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident, den Sie überprüfen möchten, mit den Informationen McAfee ePO aus.
    3. Wählen Sie im Abschnitt „Zugehörige Listen“ EDR-Profil(e) ausführen aus.
      Abbildung : 1. McAfee-Ausführungs-EDR-Profil
      Löst ein Profil manuell aus einem Security Incident aus
    4. Durchsuchen und ein Profil aus der Liste der verfügbaren Profile auswählen
      Die Liste der verfügbaren Profile lautet „Hostdetails abrufen“, „Hostcomputer isolieren“ und „Isolierung entfernen“. Wählen Sie beispielsweise Get Host Details (Hostdetails abrufen).
    5. Wählen Sie „Zugehöriges CI einschließen“ aus, um dieses Profil für alle zugehörigen CIs des Profils auszuführen.
      Wenn dem Security Incident beispielsweise fünf CIs zugeordnet sind, wird das ausgewählte Profil für alle fünf CIs ausgeführt.
    6. Klicken Sie auf Absenden.
      Das ausgewählte Profil wird manuell ausgelöst. Sie können den Abschnitt „Arbeitsnotizen und Aktivitäten“ sowie die Tags „Profil initiiert“ und „Profil abgeschlossen“ im Abschnitt „Arbeitsnotizen“ überprüfen.
      Abbildung : 2. Arbeitsnotizen für Automatisierungsaktivität
      Protokollierung von Arbeitsnotizen, wenn Fähigkeitsaufgaben initiiert und erfolgreich abgeschlossen werden
      Die Ergebnisse werden in Form von zugehörigen Listen angezeigt, z. B. „Hostdetails abrufen“, „Hostcomputer isolieren“ oder „Isolierung entfernen“.
      Hinweis:
      Alle zugehörigen Listentabellen erweitern die Basistabellen. In diesem Beispiel sind die McAfee ePO-Systemdetails eine erweiterte Tabelle der Basistabelle „Hostdetails“.
      Abbildung : 3. Zugehörige McAfee-Listen
      Überprüfen Sie die zugehörige Liste auf zusätzliche Details.
    7. Um einzelne Fähigkeiten für ein Configuration Item (CI) auszuführen, gehen Sie wie folgt vor:
      1. Wählen Sie in der zugehörigen Liste Configuration Items das gewünschte CI aus.
      2. Klicken Sie auf die Dropdown-Liste Aktionen für ausgewählte Zeilen... und wählen Sie die Fähigkeit aus, die Sie für das ausgewählte CI ausführen möchten.
        Beispiel: Host isolieren.
      3. Klicken Sie auf Host isolieren, um die Anwendung für das ausgewählte CI auszuführen.
        Das ausgewählte CI wird vom Netzwerk isoliert.