Configuration d’un profil

Dans cette étape, vous configurez un profil d’aptitude afin qu’il s’exécute uniquement lorsque les conditions que vous spécifiez sont remplies. Définissez quelles conditions sur les incidents de sécurité déclenchent automatiquement les McAfee ePO options que vous avez sélectionnées pour le profil. Vous pouvez également sélectionner un autre champ d’entrée pour le champ Élément de configuration (CI) et définir des conditions de filtrage afin que seuls les incidents de sécurité associés à votre événement déclencheur lancent automatiquement le profil. L’étape de configuration comprend les paramètres suivants sur le formulaire de configuration du profil.

Champ de déclenchement d’un autre élément de configuration (CI)

Dans les cas où le champ Élément de configuration (CI) de l’incident Now Platform® Réponse aux incidents de sécuritéSIRde sécurité () n’est pas renseigné avec une valeur ou si aucune correspondance est introuvable dans la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données d’enrichissement de CI correspondantes trouvées lors de l’analyse de vos actifs. Pour en savoir plus sur les champs Élément de configuration et Autre élément de configuration dans un incident de sécurité, reportez-vous à Définir des conditions de déclenchement avec un champ d’élément de configuration (CI) pour un McAfee ePO profil.

Balises de sécurité

Pour vous aider à suivre l’état des machines hôtes isolées et à exécuter des analyses anti-programmes malveillants, une fonctionnalité de balisage est disponible en option. Par défaut, cette option est désactivée sur le formulaire de configuration des profils. Si cette option est activée pendant l’étape de configuration, les noms des balises de sécurité sont affichés sur le formulaire de configuration. Il s’agit des noms des balises qui s’affichent pour les incidents de sécurité associés. Ces balises vous informent lorsqu’une action d’isolement d’hôte est lancée avec succès et lorsqu’elle est approuvée. Une fois qu’un hôte est renvoyé avec succès sur le réseau, la balise de sécurité est automatiquement supprimée de l’incident de sécurité. Pour les analyses de programmes malveillants, une balise s’affiche sur l’incident de sécurité associé lorsqu’une analyse est planifiée. Une fois l’analyse terminée, la balise planifiée est automatiquement remplacée par une balise qui indique que l’analyse est terminée avec succès.

Déclenchement automatique basé sur l’incident

Lorsque l’option Déclenchement automatique basé sur l’incident est activée, le créateur de condition de filtre est disponible et vous devez définir des conditions de filtrage qui spécifient quand le profil s’exécute automatiquement. Un filtre commun est Catégorie est l’activité de code malveillant™ et Impact sur l’entreprise est 1 - Critique™. Avec ces filtres, seuls les incidents de sécurité liés à un code malveillant ayant un impact critique sur l’entreprise lancent le profil. L’utilisation de l’option Déclenchement automatique peut réduire le nombre d’incidents de sécurité qui invoquent automatiquement le profil.

Approbations

Si votre organisation souhaite un niveau de contrôle supplémentaire sur des actions telles que l’isolement des ordinateurs hôtes et le lancement d’analyses de programmes malveillants, vous pouvez activer l’option Exiger l’approbation pendant l’étape de configuration d’un profil.

Par exemple, si les fonctionnalités d’approbation et de balisage sont activées pour un profil, après qu’une demande d’isolement d’un ordinateur hôte ou de retour au réseau est soumise pour approbation, l’incident de sécurité associé est automatiquement balisé lorsque l’action est initiée. Les demandes sont envoyées pour approbation à un utilisateur disposant du rôle sn_si.admin par défaut, mais cette approbation peut être réaffectée à une autre personne ou à un groupe d’approbation pour répondre aux besoins de votre organisation. Les approbateurs traitent les demandes dans Mes approbations au sein de leurs Now Platform® instances. Les balises de sécurité s’affichent sur les incidents de sécurité associés. Toutes les activités de workflow sont également enregistrées dans les notes de travail pour créer une piste d’audit.

ServiceNow Journal d’audit dans la McAfee ePO console

Dans la version 5.10.0 de McAfee ePO, un ServiceNow onglet s’affiche avec un journal des commandes lancées à partir de votre Now Platform® instance. Une fois qu’une action ou une requête est appelée à partir d’un profil de votre Now Platform® instance sur un ordinateur hôte (point de terminaison) dans la McAfee ePO console, un journal d’audit des ServiceNow commandes est créé dans la McAfee ePO console. Ce journal s’affiche dans l’arborescence système de la McAfee ePO console et vous permet d’auditer les heures des commandes envoyées à des points de terminaison spécifiques. Pour afficher les événements consignés ServiceNow sur des ordinateurs spécifiques dans une McAfee ePO console, procédez comme suit.

1. Accédez à l’arborescence Système de votre McAfee ePO console et localisez l’onglet ServiceNow .
2. Cliquez sur l’onglet pour ouvrir une liste des ordinateurs hôtes.
3. Dans la colonne Nom, cliquez sur un nom d’hôte pour ouvrir le journal d’audit.

Dans l’image suivante, un exemple de journal pour un hôte (PODCLIENT1) s’affiche.

Les événements initiés à partir des profils de votre Now Platform® instance sont enregistrés et affichés dans le journal. Vérifiez en vérifiant l’état de l’ordinateur hôte que les événements répertoriés dans le journal sont exécutés avec succès sur l’hôte.

Exemples de profils

Les rubriques suivantes comprennent des exemples de configuration des profils et de test des incidents de sécurité. Ces exemples incluent des McAfee ePO profils pour toutes les options disponibles pour cette intégration.