Conditions de déclenchement dans un élément de configuration

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Une fois que vous avez créé un profil et sélectionné les Microsoft Defender pour point de terminaison options que vous souhaitez qu’il exécute, configurez les paramètres du profil afin que le profil s’exécute uniquement lorsqu’un ensemble de conditions spécifiques est rempli.

    Comment déclencher des conditions dans un élément de configuration

    Vous pouvez définir des conditions de déclenchement afin que le profil s’exécute automatiquement chaque fois qu’un incident de sécurité correspondant à la condition de déclenchement est créé. Si la condition de déclenchement n’est pas définie, ces profils peuvent être exécutés manuellement en cliquant sur le formulaire Exécuter le(s) profil(s) EDR sur l’incident de sécurité, puis en sélectionnant le profil.

    Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans le Now Platform Base de données de gestion des configurations (CMDB)fichier . Lorsqu’un incident de sécurité est créé et qu’un profil est exécuté automatiquement ou manuellement, le CMDB est recherché pour récupérer le nom d’hôte ou l’adresse IP en fonction de la valeur du champ CI. Le nom d’hôte ou adresse IP est utilisé pour résoudre l’ID Microsoft Defender pour point de terminaison de l’agent afin d’identifier le point de terminaison.

    Dans l’idéal, une valeur correspondante est trouvée dans la base de données et les données sont collectées à partir de la Microsoft Defender pour point de terminaison console pour l’actif correspondant. Les données des différentes options sont extraites dans votre Now Platform Base de données de gestion des configurations (CMDB) instance et affichées dans les listes connexes d’un incident de sécurité. Lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité qui contient soit le nom d’hôte, soit l’adresse IP pour effectuer la résolution de l’ID de l’agent.

    Au cours de l’étape de configuration de la configuration du profil, vous pouvez sélectionner un autre champ CI pour l’identification du point de terminaison afin de vous assurer que vous êtes en mesure d’identifier le point de terminaison sur Microsoft Defender pour point de terminaison. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant cet autre champ CI comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné pour l’incident de sécurité associé à la création de l’incident.

    Remarque :
    Les autres champs CI ne sont pris en compte que pour les options qui peuvent être ajoutées à un profil. Ces fonctionnalités incluent Obtenir les détails de l’hôte, Obtenir les utilisateurs connectés, Isoler l’hôte et Supprimer l’isolement. Pour toutes les actions supplémentaires, le CI alternatif doit être configuré dans le module Paramètres par défaut.