Conditions de déclenchement dans un élément de configuration

Gestion de la sécurité à Washington DC

Release

washingtondc

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité à Washington DC

ft:clusterId

security

bundleId

security

workflow

Technology

Conditions de déclenchement dans un élément de configuration

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

Après avoir créé un profil et sélectionné les Microsoft Defender pour point de terminaison options que vous souhaitez que le profil exécute, configurez les paramètres du profil afin que le profil s’exécute uniquement lorsqu’un ensemble de conditions spécifiques est rempli.

Comment déclencher des conditions dans un élément de configuration

Vous pouvez définir des conditions de déclenchement pour que le profil s’exécute automatiquement chaque fois qu’un incident de sécurité correspondant à la condition de déclenchement est créé. Si la condition de déclenchement n’est pas définie, ces profils peuvent être exécutés manuellement en cliquant sur le formulaire Exécuter le(s) profil(s) PEPT sur l’incident de sécurité et en sélectionnant le profil.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans le Now Platform Base de données de gestion des configurations (CMDB). Lorsqu’un incident de sécurité est créé et qu’un profil est exécuté automatiquement ou manuellement, une CMDB recherche est effectuée pour récupérer le nom d’hôte ou l’adresse IP en fonction de la valeur du champ CI. Le nom d’hôte ou l’adresse IP est utilisé pour résoudre l’ID d’agent afin Microsoft Defender pour point de terminaison d’identifier le point de terminaison.

Dans un scénario idéal, une valeur correspondante est trouvée dans la base de données et les données sont collectées à partir de la Microsoft Defender pour point de terminaison console pour l’actif correspondant. Les données pour diverses options sont extraites vers votre Now Platform Base de données de gestion des configurations (CMDB) instance et affichées dans les listes connexes d’un incident de sécurité. Lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité qui contient le nom d’hôte ou l’adresse IP pour procéder à la résolution de l’ID de l’agent.

Au cours de l’étape de configuration de la configuration du profil, vous pouvez sélectionner un autre champ CI pour l’identification du point de terminaison afin de vous assurer que vous êtes en mesure d’identifier le point de terminaison sur Microsoft Defender pour point de terminaison. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant ce champ CI alternatif comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné sur l’incident de sécurité associé à la création de l’incident.

Remarque :

Les champs CI alternatifs sont pris en compte uniquement pour les options qui peuvent être ajoutées à un profil. Ces options incluent Obtenir les détails de l’hôte, Obtenir les utilisateurs connectés, Isoler l’hôte et Supprimer l’isolement. Pour toutes les actions supplémentaires, le CI alternatif doit être configuré dans le module Paramètres par défaut.