セキュリティインシデントをテストしてマルウェアスキャンを開始する
マルウェアスキャンのプロファイルを設定したら、プロファイルをテストし、プロファイルの設定に一致するセキュリティインシデントを表示します。ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントの関連リストでスキャン結果をプレビューします。
始める前に
必要なロール:sn_si.admin
このタスクについて
sn_si.admin ロールを持つユーザーとして、マルウェアスキャン機能を持つプロファイルが呼び出され、スキャン検索結果が ServiceNow AI Platform セキュリティインシデントレスポンス (SIR) セキュリティインシデントの関連リストのプレビューで予想される結果と一致していることを確認します。プレビューでは、スキャン結果がプロファイルに対して想定どおりに返されることを検証できます。
手順
-
[インシデントのテスト] ページが表示されない場合は、進捗状況バーの [インシデントのテスト ] をクリックします。
プロファイルの [インシデントのテスト] ページが表示されます。この例では、前のセクションで作成および設定した [マルウェアスキャンを開始 (Initiate Malware Scan)] プロファイルが表示されます。
-
上部のフィールドの右側にある検索アイコンをクリックして、プレビューに表示するセキュリティインシデントを選択します。
プロファイル基準に一致するセキュリティインシデントのみが表示されます。
-
表示されるリストの [番号] 列で、プレビューに表示するアイテムを選択します。
セキュリティインシデント番号がフィールドに表示されます。
-
[ McAfee ePO プレビュー] をクリックします。
プロファイルのイベント条件に一致するセキュリティインシデントが表示されます。ページがロードされると、ページの下部に各セキュリティインシデントのタブが表示されます。
-
スクロールして作業メモを表示します。
注:脅威イベントのリストワークフローはスキャンの一部です。マルウェアスキャン機能を使用したプロファイルの作成の詳細については、「 機能プロファイルの作成」を参照してください。ネットワーク上のユーザーへの影響を最小限に抑えるために、スキャンはピーク作業時間後に実行されるようにスケジュールされる場合があります。スキャンがすぐに完了しない場合があります。この場合、セキュリティインシデントの上部に、スキャンがスケジュールされていることを示すセキュリティタグが表示されます。ワークフローのステータスについては、作業メモを参照してください。ワークフローが開始され、正常に完了したときの作業メモリスト。この例では、次の図の作業メモは、スキャンが開始され、正常に完了したことを示しています。[脅威イベントのリスト表示 (List Threat Events)] 機能もスキャンの一部として開始され、正常に完了しました。次の図は、関連するセキュリティインシデントのセキュリティタグの例を示しています。
セキュリティインシデントでは、スキャンが正常に完了すると、スケジュール済みタグが完了したタグに自動的に置き換えられます。
-
スキャンが正常に完了したことを確認したら、セキュリティインシデントでスクロールして関連リンクを表示し、[ すべての関連リストを表示] をクリックします。
[脅威イベントの結果] リストと [脅威イベントの詳細] リストがタブとして表示されます。
-
[脅威イベントの詳細] リストが選択されていない場合は、選択して結果を表示します。
-
[ソース] 列のアイテムをクリックしてレコードを開き、拡張データを表示します。
拡張データには次の情報が含まれます。
- スキャン中に一致した CI フィールド値。
- タイムゾーン付きの最終チェックイン日。このデータは、現地時間で最新のデータが McAfee ePO コンソールから取得されたものを参照します。
- 生データ
このプロファイルに設定した自動トリガー基準に一致するセキュリティインシデントのスキャンワークフローが正常に完了したことを確認できました。