Après avoir créé un profil et sélectionné les options FireEye que vous souhaitez que le profil exécute, configurez les paramètres du profil afin qu’il ne s’exécute que lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir des conditions de déclenchement afin que le profil s’exécute automatiquement chaque fois qu’un incident de sécurité correspondant à la condition de déclenchement est créé. Si la condition de déclenchement n’est pas définie, ces profils peuvent être exécutés manuellement en cliquant sur le formulaire « Exécuter le(s) profil(s) EDR » sur l’incident de sécurité et en sélectionnant le profil.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans la CMDB Now Platform. Lorsqu’un incident de sécurité est créé et qu’un profil est exécuté automatiquement ou manuellement, une recherche est effectuée dans la CMDB pour récupérer le nom d’hôte et/ou l’adresse IP en fonction de la valeur du champ CI. Le nom d’hôte et/ou l’adresse IP sont utilisés pour résoudre l’ID de l’agent afin FireEye HX d’identifier le point de terminaison.

Dans un cas idéal, une valeur correspondante est trouvée dans la base de données et les données sont collectées à partir de la FireEye HX console pour l’actif correspondant. Les données des différentes options sont extraites vers votre ServiceNow AI Platform instance et affichées dans les listes connexes d’incidents de sécurité. Lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité qui contient soit le nom d’hôte, soit l’adresse IP pour effectuer la résolution de l’ID d’agent.

Au cours de l’étape de configuration du profil, vous pouvez sélectionner un autre champ CI pour l’identification du point de terminaison afin de vous assurer que vous êtes en mesure d’identifier le point de terminaison sur FireEye HX. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant cet autre champ CI comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné sur l’incident de sécurité associé lors de la création de l’incident.

Remarque :

Les champs CI alternatifs ne sont pris en compte que pour les options qui peuvent être ajoutées à un profil. Pour toutes les actions supplémentaires, le CI alternatif est extrait de la page des paramètres par défaut.