Créer un profil d’aptitude pour l’intégration McAfee ePO
Créez un profil et sélectionnez les McAfee ePO options que vous souhaitez qu’il exécute.
Avant de commencer
Rôle requis : Now Platform® administrateur d’incident de sécurité (sn_si.admin)
Pourquoi et quand exécuter cette tâche
Pour cette étape de la configuration, vous allez créer un profil pour les McAfee ePO options. Lorsque vous créez des profils, tenez compte de l’intention du profil avant d’y ajouter McAfee ePO des options. Reportez-vous au tableau suivant lorsque vous créez des profils.
La table suivante répertorie les options que vous devez ajouter à un profil si vous souhaitez que le profil effectue certaines requêtes ou actions. Créez un profil unique qui exécute des requêtes pour obtenir des détails sur l’hôte, lance des analyses de programmes malveillants, supprime l’isolement et isole les machines hôtes, ou crée plusieurs profils, chacun avec sa propre option.
Procédure
-
Renseignez les champs du formulaire.
Champ Description Nom Nom du profil d’aptitude McAfee ePO . Ce nom vous permet d’identifier le type de profil et de le décrire. Un exemple de profil qui exécute des requêtes est Détails de l’hôte et de la menace. Ce nom est également le nom de la balise de sécurité de ce profil par défaut. Description Informations supplémentaires sur le profil qui décrivent plus en détail les activités du profil. Voici un exemple de description d’un profil qui exécute des requêtes : Enrichissement des menaces pour les détails du système et une liste d’événements de menace. Voici un exemple de description d’un profil qui exécute des actions : Isoler l’ordinateur hôte. Source Nom du McAfee ePO serveur. Seuls les serveurs configurés sont disponibles dans la liste de choix. Aptitude de McAfee ePO Options du McAfee ePO profil. McAfee ePO prend en charge les fonctionnalités suivantes : - Obtenir les détails de l'hôte
- Isoler le profil de l’hôte
- Lancer l’analyse anti-programme malveillant
- Supprimer l'isolement
- Répertorier les événements de menace
Sélectionnez les options que vous souhaitez pour ce profil dans la colonne Disponible et déplacez-les vers la colonne Sélectionné .
Vous ne pouvez pas ajouter Obtenir les détails de l’hôte, Lancer l’analyse anti-programme malveillant et Répertorier les événements de menace dans le même profil, ni Supprimer l’isolement et Isoler l’hôte sur le même profil.
Ordre Priorité du workflow. La valeur par défaut est 100. La valeur de ce champ indique l’ordre dans lequel les workflows sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dont le numéro est le plus bas a la priorité la plus élevée.
Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.Actif La case est cochée par défaut pour indiquer que le profil est actif. Lorsque cette option est sélectionnée, le profil est actif et se déclenche automatiquement lorsqu’un incident de sécurité correspondant aux conditions de filtrage spécifiées lors de l’étape de configuration est créé.
Lorsqu’il est inactif, le profil ne s’exécute pas et il n’est pas possible de l’appeler à partir d’une liste.
Que faire ensuite
L’étape suivante consiste à configurer votre profil. Avant de configurer les paramètres du profil, il est préférable d’examiner les concepts de configuration des profils et des conditions de déclenchement. Voir Configurer votre McAfee ePO console pour qu’elle s’intègre à Réponse aux incidents de sécurité (SIR) et Définir des conditions de déclenchement avec un champ d’élément de configuration (CI) pour un McAfee ePO profil pour plus d’informations.