Configuration d’un profil

Dans cette étape, vous configurez un profil d’aptitude afin qu’il s’exécute uniquement lorsque les conditions spécifiées sont remplies. Vous définissez les conditions des incidents de sécurité qui déclenchent automatiquement les McAfee ePO options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Configuration Item (CI) et définir des conditions de filtrage afin que seuls les incidents de sécurité liés à votre événement déclencheur lancent automatiquement le profil. L’étape de configuration inclut les paramètres suivants sur le formulaire de configuration du profil.

Champ de déclenchement d’élément de configuration (CI) alternatif

Si le champ Élément de configuration (CI) de l’incident de sécurité (SIR) n’est ServiceNow AI Platform® Réponse aux incidents de sécurité pas renseigné avec une valeur, ou si une correspondance est introuvable dans la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données d’enrichissement de CI correspondantes trouvées lors de l’analyse de vos actifs. Pour plus d’informations sur les champs Élément de configuration et Autre élément de configuration sur un incident de sécurité, reportez-vous à la section Définition des conditions de déclenchement avec un champ d’élément de configuration (CI).

Balises de sécurité

Pour vous aider à suivre l’état des machines hôtes isolées et lorsque des analyses de programmes malveillants sont lancées, une fonctionnalité de balisage facultative est disponible. Par défaut, cette option est désactivée dans le formulaire de configuration des profils. Si cette option est activée au cours de l’étape de configuration, les noms des balises de sécurité s’affichent sur le formulaire de configuration. Il s’agit des noms des balises affichées sur les incidents de sécurité associés. Ces balises vous informent lorsqu’une action d’isolement d’hôte est initiée avec succès et lorsqu’elle est approuvée. Une fois qu’un hôte est renvoyé avec succès au réseau, la balise de sécurité est automatiquement supprimée de l’incident de sécurité. Pour les analyses de programmes malveillants, une balise s’affiche sur l’incident de sécurité connexe lorsqu’une analyse est planifiée. Une fois l’analyse terminée, la balise planifiée est automatiquement remplacée par une balise qui indique que l’analyse est terminée avec succès.

Déclenchement automatique basé sur l’incident

Lorsque l’option Déclenchement automatique basé sur l’incident est activée, le générateur de conditions de filtre est disponible et vous devez définir des conditions de filtrage qui spécifient quand le profil s’exécute automatiquement. Un filtre commun est Catégorie est activité de code malveillant™ et Impact sur l’activité est 1 - Critique™. Avec ces filtres, seuls les incidents de sécurité liés à un code malveillant et ayant un impact critique sur l’entreprise lancent le profil. L’utilisation de l’option de déclenchement automatique peut réduire le nombre d’incidents de sécurité qui invoquent automatiquement le profil.

Approbations

Si votre organisation souhaite un niveau de contrôle supplémentaire sur des actions telles que l’isolation des machines hôtes et le lancement d’analyses de logiciels malveillants, vous pouvez activer l’option Exiger l’approbation pendant l’étape de configuration d’un profil.

Par exemple, si les fonctionnalités d’approbation et de balisage sont activées pour un profil, après qu’une demande d’isolement d’un ordinateur hôte ou de renvoi au réseau est soumise pour approbation, l’incident de sécurité associé est automatiquement balisé pour initier l’action. Par défaut, les demandes sont envoyées pour approbation à un utilisateur disposant du rôle sn_si.admin, mais cette approbation peut être réaffectée à une autre personne ou à un groupe d’approbation pour répondre aux besoins de votre organisation. Les approbateurs traitent les demandes dans Mes approbations dans leurs ServiceNow AI Platform® instances. Les balises de sécurité sont affichées sur les incidents de sécurité associés. Toutes les activités de workflow sont également enregistrées dans des notes de travail afin de créer une piste d’audit.

ServiceNow Journal d’audit dans la McAfee ePO console

Dans la version 5.10.0 de McAfee ePO, un ServiceNow onglet s’affiche avec un journal des commandes lancées à partir de votre ServiceNow AI Platform® instance. Une fois qu’une action ou une requête est invoquée à partir d’un profil de votre ServiceNow AI Platform® instance sur un ordinateur hôte (point de terminaison) dans la McAfee ePO console, un journal d’audit des ServiceNow commandes est créé dans la McAfee ePO console. Ce journal s’affiche dans l’arborescence système de la McAfee ePO console et vous aide à auditer les heures des commandes envoyées à des points de terminaison spécifiques. Pour afficher les événements consignés ServiceNow sur des ordinateurs spécifiques dans une McAfee ePO console, procédez comme suit.

1. Accédez à l’arborescence système de votre McAfee ePO console et recherchez l’onglet ServiceNow .
2. Cliquez sur l’onglet pour ouvrir une liste d’ordinateurs hôtes.
3. Dans la colonne Nom, cliquez sur un nom d’hôte pour ouvrir le journal d’audit.

Dans l’image suivante, un exemple de journal pour un hôte (PODCLIENT1) s’affiche.

Les événements initiés à partir des profils de votre ServiceNow AI Platform® instance sont enregistrés et affichés dans le journal. Vérifiez en vérifiant l’état de l’ordinateur hôte que les événements répertoriés dans le journal ont été exécutés avec succès sur l’hôte.

Exemples de profils

Les rubriques suivantes comprennent des exemples de configuration des profils et de test des incidents de sécurité. Ces exemples incluent des profils pour toutes les McAfee ePO options disponibles pour cette intégration.