セキュリティインシデントをテストし、ホスト隔離の要求を承認する

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • テストとプレビューのステップでは、ホスト隔離とホスト隔離削除のワークフローの結果がプロファイルに対して想定どおりに返されていることを検証できます。

    始める前に

    必要なロール:sn_si.admin

    このタスクについて

    構成のこのステップでは、sn_si.admin ロールを持つユーザーとして、[ホストを隔離] 機能で構成したプロファイルが、想定どおりにセキュリティインシデントと一致する資産 ID を返すことを確認します。プロファイルの設定に一致するセキュリティイベント条件が発生したときに作成される実際の ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントを表示します。

    ホストマシンを隔離する要求が送信されたら、承認者ロールを持つユーザーとして要求を処理します。

    手順

    1. [インシデントのテスト] ページが表示されない場合は、進捗状況バーの [インシデントのテスト ] をクリックします。
      [McAfee 機能プロファイル] の [インシデントのテスト] ページ。
      プロファイルの [インシデントのテスト] ページが表示されます。この例では、前のセクションで作成および構成した ホスト隔離™ プロファイルが表示されます。
    2. 上部フィールドの右側にある検索アイコンをクリックして、プレビューするセキュリティインシデントを選択します。
      検索の記号が強調されています。
    3. 表示されるリストの [番号] 列で、プレビューに表示するアイテムを選択します。

      プロファイルに設定した基準に一致するセキュリティインシデントのみが表示されます。

      セキュリティインシデントのリスト。
      セキュリティインシデントがページに表示されます。
    4. プレビューするすべてのインシデントがフィールドに表示されるまで、ステップ 2 と 3 を繰り返します。
      プレビュー用に最大 5 つのセキュリティインシデントを選択します。
    5. [McAfee ePO プレビュー] をクリックして、セキュリティインシデントを表示します。
      [McAfee ePO プレビュー] ボタンが強調されています。
      プロファイルに一致するセキュリティイベント条件に対して作成されたインシデントがタブに表示されます。
      注:
      この時点で [インシデントのテスト] ページを終了すると、これらのフィールドからセキュリティインシデントが消去されます。
      セキュリティインシデントがタブに表示されています。
    6. タブを選択し、セキュリティインシデントをスクロールして作業メモを表示します。
      機能タスクが開始され、正常に完了したときの作業メモ。
      この例では、前の画像のSIR0010021が選択されています。作業メモには、ホスト隔離ワークフローが開始されたことがリストされます。このプロファイルに対して [承認が必要 ] オプションが有効になっているため、作業メモには要求が 承認待ちであることが示されます。

      インシデントの上部に、要求が開始されたことを示すセキュリティタグが表示されます (ホストの隔離 - 開始)。

      [ホスト隔離キューイング済 (Isolate Host Queued)] タグが表示されたセキュリティインシデント。

      これで、[ホストを隔離] 機能のプロファイルに一致するセキュリティインシデントを見つけ、セキュリティインシデントを表示できました。

    7. 承認グループのユーザーの場合は、次の手順に従って要求を処理します。
      1. インスタンスで [自分の承認] に移動します。

        この例では、承認者のユーザー名は Mary admin™ です。

        [自分の承認] モジュールが強調されています。
        承認リストが表示されます。
      2. [ステータス] 列で、アイテムをクリックして承認レコードを開きます。
        [自分の承認] の [状態] 列で [要求済み] が強調されています。
      3. 表示される承認レコードで、[ 承認 ] または [却下] をクリックします。
        承認レコードで [承認] および [却下] ボタンが強調されています。
        要求の処理後、ワークフローの実行に少し時間がかかる場合があります。トランザクションに数秒以上かかる場合は、上部のレコードに次の図に示すメッセージが表示されます。
        トランザクション処理中のメッセージ。

        しばらくすると、表示される承認レコードの [ステータス] 列が [要求済み] から [承認済み] に変わります。この要求のホストマシンを分離するために追加の承認は必要ありません。要求が却下された場合、ホストは隔離されず、要求は処理待ちのままになります。sn_si.analyst ロールを持つユーザーとして、要求が却下された場合にエンドポイントを分離する場合は、新しい要求を送信する必要があります。

        [自分の承認] で、[ステータス] 列に [承認済み] と表示されています。

        前の図のホストマシンを分離する要求が承認されます。

      4. 移動先 セキュリティインシデント > インシデント > すべてのインシデントを表示 そして、[番号] 列でエントリをクリックして、作業しているセキュリティインシデントを開きます。
        ナビゲーションパネルで [すべてのインシデントを表示] が強調されています。
        表示されるセキュリティインシデントでは、「 ホスト隔離 - 完了」™ タグが「 ホスト隔離 - 開始」™ タグを置き換えます。この例のホスト隔離ワークフローは成功しています。
        [セキュリティインシデント] の、ホストが正しく隔離されたことを示すセキュリティタグ。
        セキュリティインシデントの作業メモには、ホストの隔離が完了し、承認者である Mary admin™ がリストされていることも示されます。
        機能タスクが開始され、正常に完了したときの作業メモ。
        重要:
        セキュリティインシデントのセキュリティタグと作業メモは、ホストの隔離ワークフローが正常に完了したことを示していますが、 McAfee ePO コンソールに戻り、ホストマシンがネットワークから隔離されていることを確認します。

        資産の調査が完了したら、ServiceNow AI Platform® インスタンスの [ホスト隔離エントリ™ー] テーブルから [隔離を削除] ワークフローを開始して、ホストをネットワークに戻します。

    8. ホストを隔離から削除してネットワークに戻すには、次の手順を実行します。
      1. [ McAfee ePO ホスト隔離エントリー] テーブルが表示されない場合は、 McAfee epO 統合 > McAfee ePO 統合ホスト隔離エントリー.
        [McAfee ePO 統合のホスト隔離エントリー (Mcafee epO integration Isolate Host Entries)] テーブルの [ステータス] 列で [隔離済み] が強調されています。
        [ホスト隔離エントリー] リストが表示されます。リスト上部の [ステータス] 列で、分離した資産を検索します。
      2. [追加日] 列で、アイテムをクリックしてレコードを開きます。
        [ホスト隔離エントリー] レコードが表示されます。セキュリティインシデントに関連付けられたすべてのアクションの監査記録が作業メモに表示されます。次の図では、作業メモの最後のエントリがホストの分離の成功です。隔離が完了した日付が [ 追加日 ] フィールド (2019-01-03 14:04:17) に表示されます。
        [ホスト隔離エントリー] レコード
      3. [ 隔離を削除] をクリックして、マシンをネットワークに復元するワークフローを開始します。
        [ホスト隔離エントリー] レコードが表示されます。レコードの上部に、要求が送信されたことを示すメッセージが表示されます。ステータスが [ 隔離済み] から [承認待ち] に変わり、作業メモがログに記録されます。この場合、システム管理者はマシンをネットワークに復元することを要求しています。
        メッセージが表示された [ホスト隔離エントリー] レコード。
      4. 要求が通知されたら、ホスト隔離の承認権限を持つユーザーとして、インスタンスで [自分の承認 ] に移動し、隔離削除要求のレコードを開きます。
      5. [ 承認] をクリックして要求を承認し、資産をネットワークに戻します。
        または、[ 却下 ] をクリックして要求を承認待ちステータスのままにします。要求が却下された場合は、ホストを隔離するために新しい要求を送信する必要があります。ホスト隔離を削除する要求を承認すると、セキュリティインシデントのタグが削除されます。作業メモは、隔離削除要求の監査記録を作成します。この例では、システムアドミニストレーターが要求を開始して承認しました。
        機能タスクが開始され、正常に完了したときの作業メモ。

        セキュリティインシデントのセキュリティタグと作業メモは、ホスト隔離削除ワークフローが正常に完了したことを示しています。ホストがネットワーク上に戻ったことを確認するには、 McAfee ePO コンソールに戻り、ホストマシンがアクティブになっていることを確認します。

    9. 1 つ選択して続行します。
      オプション説明
      前へ プロファイルの構成ステップに戻ります。テスト結果とプレビュー結果に満足できない場合は、プロファイル設定の構成を続行します。
      フィンランド語 構成を完了します。アクティベーションを確認するように求められます。