Auslösebedingungen in einem Configuration Item

Yokohama Sicherheitsmanagement

Release

yokohama

ft:locale

de-DE

ft:publication_title

Yokohama Sicherheitsmanagement

ft:clusterId

security

bundleId

security

workflow

Technology

Auslösebedingungen in einem Configuration Item

Freigeben Version: Yokohama

Aktualisiert 30. Januar 2025

1 Minute Lesedauer

Nachdem Sie ein Profil erstellt und die Microsoft Defender for Endpoint -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass das Profil nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt ist.

Wie Bedingungen in einem Konfigurationselement ausgelöst werden

Sie können Auslöserbedingungen festlegen, sodass das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der den Auslöserbedingungen entspricht. Wenn die Auslösebedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

Standardmäßig verwendet die Integration das Feld Configuration Item (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in Now Platform Configuration Management Database (CMDB)gespeicherten Informationen abzugleichen. Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird CMDB durchsucht, um den Hostnamen oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname oder die IP wird verwendet, um die Agent-ID auf Microsoft Defender for Endpoint aufzulösen und den Endpunkt zu identifizieren.

In einem idealen Szenario wird ein übereinstimmender Wert in der -Datenbank gefunden, und Daten werden in der Konsole Microsoft Defender for Endpoint für das übereinstimmende Asset gesammelt. Die Daten für verschiedene Fähigkeiten werden in Ihre Instanz Now Platform Configuration Management Database (CMDB) abgerufen und in den zugehörigen Listen eines Security Incident angezeigt. Wenn das Feld Configuration Item (CI) im Security Incident mit einem Hostnamen mit oder einer IP-Adresse, die der -Datenbank entspricht, nicht ausgefüllt ist, können Sie im Security Incident ein alternatives Feld auswählen, das entweder den Hostnamen oder die auszuführende IP-Adresse enthält die Agent-ID-Auflösung.

Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt unter Microsoft Defender for Endpointidentifizieren können. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Durch Auswahl dieses alternativen CI-Felds als Sicherung stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld im zugehörigen Security Incident bei der Incident-Erstellung nicht ausgefüllt wird.

Hinweis:

Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden können. Zu diesen Fähigkeiten gehören „Hostdetails abrufen“, „Angemeldete Benutzer abrufen“, „Host isolieren“ und „Isolierung entfernen“. Für alle zusätzlichen Aktionen muss das alternative CI im Modul „Standardeinstellungen“ konfiguriert sein.