Tester les incidents de sécurité et approuver les demandes pour l’hôte isolé

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 5 minutes de lecture

    • L’étape de test et d’aperçu vous permet de valider que les résultats des workflows d’isolement de l’hôte et de suppression de l’isolement de l’hôte sont renvoyés comme prévu pour le profil.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Au cours de cette étape de la configuration, en tant qu’utilisateur disposant du rôle sn_si.admin, vérifiez que le profil que vous avez configuré avec l’option Isoler l’hôte renvoie les incidents de sécurité et les ID d’actifs correspondants comme prévu. Affichez les incidents de sécurité réels ServiceNow AI Platform Réponse aux incidents de sécurité (SIR) qui sont créés lorsque des conditions d’événement de sécurité correspondant aux paramètres de votre profil se produisent.

    Après l’envoi d’une demande d’isolement d’un ordinateur hôte, traitez-la en tant qu’utilisateur disposant d’un rôle d’approbateur.

    Procédure

    1. Si la page Tester l’incident n’est pas affichée, cliquez sur Tester l’incident dans la barre de progression.
      Page Tester l’incident d’un profil de fonctionnalité McAfee.
      La page Tester l’incident s’affiche pour votre profil. Pour cet exemple, le profil Isoler l’hôte™ que vous avez créé et configuré dans les sections précédentes s’affiche.
    2. À droite du champ supérieur, cliquez sur l’icône de recherche pour sélectionner un incident de sécurité à prévisualiser.
      Symbole de recherche mis en surbrillance.
    3. Dans la colonne Numéro de la liste qui s’affiche, sélectionnez un élément que vous souhaitez afficher dans l’aperçu.

      Seuls les incidents de sécurité qui correspondent aux critères définis pour le profil s’affichent.

      Liste des incidents de sécurité.
      Les incidents de sécurité sont affichés sur la page.
    4. Répétez les étapes 2 et 3 jusqu’à ce que tous les incidents que vous souhaitez prévisualiser s’affichent dans les champs.
      Sélectionnez jusqu’à cinq incidents de sécurité pour l’aperçu.
    5. Cliquez sur McAfee ePO Preview (Aperçu de McAfee ePO ) pour afficher les incidents de sécurité.
      Bouton Aperçu McAfee ePO mis en surbrillance.
      Les incidents créés pour les conditions d’événement de sécurité qui correspondent à votre profil sont affichés dans des onglets.
      Remarque :
      Si vous quittez la page Incident test à ce stade, vos incidents de sécurité sont effacés de ces champs.
      Incidents de sécurité affichés dans les onglets.
    6. Sélectionnez un onglet puis, sur l’incident de sécurité, faites défiler pour afficher les notes de travail.
      Enregistrement des notes de travail lorsque les tâches d’aptitude sont lancées et terminées avec succès.
      Pour cet exemple, SIR0010021 de l’image précédente est sélectionnée. Les notes de travail indiquent que le workflow d’isolation de l’hôte est lancé. Étant donné que l’option Exiger l’approbation est activée pour ce profil, les notes de travail indiquent que la demande est en attente d’approbation.

      La balise de sécurité indiquant que la demande est initiée (Isoler l’hôte : initiée) est affichée au-dessus de l’incident.

      Incident de sécurité avec la balise Isoler l’hôte en file d’attente affichée.

      Vous avez localisé avec succès les incidents de sécurité qui correspondent à votre profil pour l’aptitude Isoler l’hôte et visualisé un incident de sécurité.

    7. Si vous faites partie d’un groupe d’approbation, procédez comme suit pour traiter une demande.
      1. Accédez à Mes approbations dans votre instance.

        Pour cet exemple, le nom d’utilisateur de l’approbateur est Mary admin™.

        Module Mes approbations mis en surbrillance.
        La liste des approbations s’affiche.
      2. Dans la colonne État, cliquez sur un élément pour ouvrir l’enregistrement d’approbation.
        Dans Mes approbations, Demandé dans la colonne État mis en surbrillance.
      3. Dans l’enregistrement d’approbation qui s’affiche, cliquez sur Approuver ou Rejeter.
        Sur l’enregistrement d’approbation, les boutons Approuver et Rejeter sont mis en surbrillance.
        Une fois la demande traitée, l’exécution du workflow peut prendre quelques instants. Sur l’enregistrement en haut, un message s’affiche comme illustré dans la figure suivante si la transaction prend plus de quelques secondes.
        Message de traitement de la transaction.

        Après quelques instants, dans l’enregistrement d’approbation qui s’affiche, la colonne État passe de Demandé à Approuvé. Aucune approbation supplémentaire n’est requise pour isoler l’ordinateur hôte pour cette demande. Si la demande est rejetée, l’hôte n’est pas isolé et la demande reste en attente. En tant qu’utilisateur disposant du rôle sn_si.analyst, si la demande est rejetée, vous devez soumettre une nouvelle demande si vous souhaitez toujours isoler le point de terminaison.

        Dans Mes approbations, Approuvé affiché dans la colonne État.

        La demande d’isolement de l’ordinateur hôte présentée dans la figure précédente est approuvée.

      4. Accédez à la Incident de sécurité > Incidents > Afficher les incidents et, dans la colonne Numéro, cliquez sur une entrée pour ouvrir l’incident de sécurité avec lequel vous travaillez.
        Afficher tous les incidents en surbrillance dans le panneau de navigation.
        Sur l’incident de sécurité qui s’affiche, la balise Isoler l’hôte : terminé™ remplace la balise Isoler l’hôte : initié™ . Le workflow d’isolation de l’hôte pour cet exemple est réussi.
        Lors d’un incident de sécurité, l’hôte a réussi à isoler la balise de sécurité.
        Les notes de travail sur l’incident de sécurité indiquent également que l’isolement de l’hôte est terminé et que l’approbateur, Mary admin™, est répertorié.
        Enregistrement des notes de travail lorsque les tâches d’aptitude sont lancées et terminées avec succès.
        Important :
        Bien que la balise de sécurité et les notes de travail sur l’incident de sécurité indiquent que le workflow d’isolation de l’hôte a réussi, revenez à votre McAfee ePO console et vérifiez que la machine hôte est isolée de votre réseau.

        Une fois que vous avez terminé votre enquête sur l’actif, lancez le workflow Supprimer l’isolement à partir de la table Entrées d’isolement de l’hôte™ dans votre ServiceNow AI Platform® instance pour renvoyer l’hôte au réseau.

    8. Pour retirer l’hôte de la quarantaine et le renvoyer au réseau, procédez comme suit.
      1. Si la table Isoler les entrées de l’hôte n’est McAfee ePO pas affichée, accédez à Intégration de McAfee epO > Intégration de McAfee epO Isoler les entrées de l’hôte.
        Dans la table Isoler les entrées de l’hôte de McAfee ePO, la colonne État avec Isolé est mise en surbrillance.
        La liste Isoler les entrées de l’hôte s’affiche. En haut de la liste, dans la colonne État, recherchez l’actif que vous avez isolé.
      2. Dans la colonne Date d’ajout, cliquez sur l’élément pour ouvrir l’enregistrement.
        L’enregistrement Isoler les entrées de l’hôte s’affiche. Une piste d’audit pour toutes les actions associées à l’incident de sécurité s’affiche dans les notes de travail. Dans la figure suivante, la dernière entrée des notes de travail est une isolation réussie de l’hôte. La date de fin de la quarantaine est affichée dans le champ Date d’ajout (03/01/2019 14:04:17).
        Enregistrement Isoler les entrées de l’hôte.
      3. Cliquez sur Supprimer l’isolement pour lancer le workflow de restauration de l’ordinateur sur le réseau.
        L’enregistrement Isoler l’entrée de l’hôte s’affiche. En haut de l’enregistrement, un message indique que la demande a été envoyée. L’état passe d’Isolé à En attente d’approbation, et une note de travail est enregistrée. Dans ce cas, l’administrateur système a demandé que la machine soit restaurée sur le réseau.
        Isoler l’enregistrement de l’entrée de l’hôte avec des messages.
      4. Une fois que vous avez été informé de la demande, en tant qu’utilisateur ayant l’autorisation d’approbation pour l’isolement de l’hôte, accédez à Mes approbations dans votre instance et ouvrez l’enregistrement pour la demande de suppression de l’isolement.
      5. Cliquez sur Approuver pour approuver la demande et renvoyer l’actif au réseau.
        Vous pouvez également cliquer sur Rejeter pour maintenir la demande dans l’état En attente d’approbation. Si une demande est rejetée, une nouvelle demande doit être soumise pour isoler l’hôte. Une fois que vous avez approuvé la demande de suppression de l’isolement de l’hôte, la balise de l’incident de sécurité est supprimée. Notes de travail Créez une piste d’audit pour la demande de suppression d’isolement. Pour cet exemple, l’administrateur système a initié et approuvé la demande.
        Enregistrement des notes de travail lorsque les tâches d’aptitude sont lancées et terminées avec succès.

        La balise de sécurité et les notes de travail sur l’incident de sécurité indiquent que le workflow de suppression de l’isolement de l’hôte est terminé avec succès. Pour vérifier que l’hôte est de nouveau sur le réseau, retournez à votre McAfee ePO console et vérifiez que l’ordinateur hôte est maintenant actif.

    9. Choisissez-en un pour continuer.
      OptionDescription
      Précédent Revenez à l’étape de configuration du profil. Si vous n’êtes pas satisfait des résultats du test et de l’aperçu, continuez à configurer les paramètres de profil.
      Terminer Terminez la configuration. Vous êtes invité à confirmer l’activation.