Configurer les profils et les incidents de sécurité pour les requêtes d’enrichissement du système

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Configurez les paramètres de votre profil de sorte que le profil se déclenche uniquement dans les conditions que vous définissez.

    Avant de commencer

    Rôle requis : ServiceNow AI Platform® administrateur d’incident de sécurité (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Définissez les conditions qui déclenchent automatiquement les McAfee ePO options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI). Dans cet autre champ, vous pouvez définir des conditions de filtrage de sorte que seuls les incidents de sécurité liés à votre événement déclencheur déclenchent automatiquement le profil.

    Procédure

    1. Si la page Configuration ne s’affiche pas, cliquez sur Configuration dans la barre de progression.
    2. Renseignez les champs du formulaire
      OptionDescription
      Activer un champ de déclenchement CI alternatif Champ de déclenchement d’élément de configuration (CI) alternatif. La valeur par défaut est effacée.

      Lorsque cette case n’est pas cochée et que l’option de champ de déclenchement CI alternatif est désactivée, aucun autre champ de CI n’est identifié. Si elle est désactivée, une valeur pour le champ CI doit être renseignée sur un SIR incident de sécurité, et la valeur du champ doit être reconnue par la McAfee ePO console avant que le profil ne collecte les données d’enrichissement.

      Cochez cette case si vous pensez que le champ CI ne sera pas renseigné lors de la création de l’incident, mais que les informations CI seront renseignées dans un autre champ sur l’incident de sécurité. Lorsque cette option est activée, la liste de choix de champs Déclenchement CI alternatif s’affiche. Choisissez un autre champ dans la liste de choix pour vérifier vos critères de recherche de CI.

      Pour plus d’informations sur le champ de déclenchement CI alternatif, reportez-vous à la section Définition des conditions de déclenchement avec un champ d’élément de configuration (CI).
      Balises d'affichage Les balises de sécurité sont affichées sur les incidents de sécurité. La valeur par défaut est effacée.

      Lorsque cette case n’est pas cochée et que l’option de balisage est désactivée, aucun nom de balise de sécurité n’est affiché sur le formulaire de configuration et les balises ne sont pas affichées sur les incidents de sécurité associés. Pour cet exemple, l’option des balises de sécurité est désactivée.
      Déclenchement automatique basé sur l'incident Conditions de filtre. La valeur par défaut est effacée.

      Lorsque la case est décochée et que l’option est désactivée, le profil doit être invoqué manuellement à partir d’un incident de sécurité.

      Lorsque cette option est activée, le générateur de conditions de filtre s’affiche. Vous devez définir les conditions de filtrage pour spécifier quand le profil s’exécute automatiquement lors de la création de l’incident.

      Un exemple courant de filtre pour un profil qui exécute des requêtes d’enrichissement est Category is Malicious Code Activity (Activité de code malveillant ) et Business impact (Impact sur l’entreprise) est 1-Critique. Ces conditions de filtre vous aident à localiser les incidents liés à des types spécifiques d’événements de sécurité et vous aident à limiter le nombre d’incidents de sécurité que vous devez examiner.

      Ces paramètres de filtre restent enregistrés jusqu’à ce que vous les modifiiez, et ils sont disponibles pour modification pendant l’étape d’aperçu et de test d’incident de la configuration.
      Exiger l’approbation Option d’approbation de demande. La valeur par défaut est effacée.

      Cette option d’approbation est disponible pour n’importe quel profil. Habituellement, les approbations sont utilisées pour les options qui appellent des actions telles que l’isolement d’hôte et les analyses de programmes malveillants.

      Lorsque la case est décochée et que cette option est désactivée, aucune demande d’approbation n’est soumise. Pour cet exemple, aucune autorisation préalable n’est requise pour les requêtes d’enrichissement du système.
      Configurer le profil d’aptitude de McAfee
    3. Pour activer l’option Autre champ CI et définir les conditions de filtrage qui appellent automatiquement ce profil, procédez comme suit.
      1. Cochez la case Activer un autre champ de déclenchement de CI .
        Le champ Autre déclencheur CI s’affiche. Pour cet exemple, en tant qu’utilisateur disposant du rôle sn_si.admin, vous pensez que le champ CI ne sera pas renseigné sur l’incident de sécurité lors de sa création. Sinon, vous pensez que les informations de CI pour un nom de domaine complet, un nom d’hôte ou une adresse IP seront renseignées dans le champ CI identifié de l’incident de sécurité, et vous sélectionnez le champ CI identifié comme alternative. Le CI identifié est sélectionné pour cet exemple, mais vous pouvez utiliser n’importe quel champ de l’incident de sécurité pour l’autre CI.
      2. Dans la liste de choix de champs Déclenchement CI alternatif qui s’affiche, sélectionnez le champ CI identifié .

        Tous les champs disponibles sur l’incident de sécurité sont affichés dans la liste, y compris les champs personnalisés. Le champ Déclenchement CI alternatif affiche le CI identifié .

        Lorsque ce profil est invoqué et que le champ CI n’est pas renseigné sur l’incident de sécurité associé lors du déclenchement de l’événement initial, le profil utilise alternativement la valeur du champ CI identifié dans la recherche.

      3. Cochez la case Déclencher automatiquement en fonction de l’incident .
        Le générateur de conditions de filtre s’affiche. Cette option permet de définir les conditions de filtrage et de spécifier quand le profil est appelé automatiquement lors de la création d’un incident de sécurité.
      4. Définissez les conditions d’incident SIR qui déclencheront automatiquement les options ePO sélectionnées pour ce profil particulier.
      5. Si les options de profil qui exécutent une action sur un point de terminaison nécessitent une approbation, cochez la case Exiger l’approbation .
      6. Sélectionnez une approbation à l’aide de l’icône de recherche.
    4. Cliquez sur Terminer.
      Vous avez configuré le profil pour qu’il se déclenche automatiquement lors de la création de l’incident, et un autre champ est utilisé pour renseigner les résultats de CI correspondants.