Une fois que vous avez créé un profil et sélectionné les options FireEye que vous souhaitez que le profil exécute, configurez les paramètres du profil de sorte qu’il ne s’exécute que lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir des conditions de déclenchement afin que le profil s’exécute automatiquement chaque fois qu’un incident de sécurité correspondant à la condition de déclenchement est créé. Si la condition de déclenchement n’est pas définie, ces profils peuvent être exécutés manuellement en cliquant sur le formulaire « Exécuter le(s) profil(s) EDR » sur l’incident de sécurité et en sélectionnant le profil.

Par défaut, l’intégration utilise le champ Élément de configuration (CI) sur l’incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans la CMDB Now Platform. Lorsqu’un incident de sécurité est créé et qu’un profil est exécuté automatiquement ou manuellement, une recherche est effectuée dans la CMDB pour récupérer le nom d’hôte et/ou l’adresse IP en fonction de la valeur du champ CI. Le nom et/ou l’adresse IP d’hôte sont utilisés pour résoudre l’ID de l’agent afin FireEye HX d’identifier le point de terminaison.

Dans l’idéal, une valeur correspondante est trouvée dans la base de données et les données sont collectées à partir de la FireEye HX console pour l’actif correspondant. Les données de diverses options sont extraites dans votre instance Now Platform et affichées dans les listes connexes d’incidents de sécurité. Lorsque le champ Élément de configuration (CI) de l’incident de sécurité avec un nom d’hôte ou une adresse IP correspondant à la base de données n’est pas renseigné, vous pouvez sélectionner un autre champ de l’incident de sécurité qui contient le nom d’hôte ou l’adresse IP pour effectuer la résolution de l’ID d’agent.

Au cours de l’étape de configuration du profil, vous pouvez sélectionner un autre champ CI pour l’identification du point de terminaison afin de vous assurer que vous êtes en mesure d’identifier le point de terminaison sur FireEye HX. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant cet autre champ CI comme sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné sur l’incident de sécurité associé lors de la création de l’incident.

Remarque :

Les champs CI alternatifs ne sont pris en compte que pour les options qui peuvent être ajoutées à un profil. Pour toutes les actions supplémentaires, le CI alternatif est sélectionné à partir de la page des paramètres par défaut.