プロファイルを作成し、そのプロファイルで実行する McAfee ePO 機能を選択したら、一連の特定の条件が満たされた場合にのみ実行されるようにプロファイルの設定を構成します。

これらのトリガー条件は柔軟に設定できるため、Now Platform® セキュリティインシデントレスポンス セキュリティインシデントで一致するデフォルトのフィールド値に基づいて、プロファイルが自動的に実行されます。または、セキュリティインシデントで特定したフィールド値の一致を検索するようにプロファイルを設定することもできます。

Now Platform® セキュリティインシデントレスポンス (SIR) セキュリティインシデントの [構成アイテム (CI)] フィールドは、統合の機能とプロファイルの動作の重要な要素の 1 つです。このフィールドの値は、セキュリティインシデントの原則値です。この値は、資産の ID を Now Platform® データベースに格納されている情報と照合するために使用されます。セキュリティイベントによって SIR セキュリティインシデントが作成され、プロファイルがアクティブ化されると、この [構成アイテム] フィールドの値に基づいて、完全修飾ドメイン名 (FQDN)、ホスト名、または IP アドレスの一致する値に対して、資産がスキャンされます。

理想的なケースでは、一致する値がデータベース内で見つかり、一致する資産のデータを McAfee ePO コンソールから収集し、Now Platform® インスタンスにプルして、セキュリティインシデントの関連リストに表示できます。次の図は、SIR セキュリティインシデントのホスト名が入力された [構成アイテム] フィールドの例を示しています。

セキュリティインシデントの [構成アイテム (CI)] フィールドに値が入力されていない場合、またはデータベースと一致する FQDN、ホスト名、または IP アドレスに対する一致が見つからない場合は、セキュリティインシデントの代替フィールドを選択して、資産のスキャン中に見つかった一致する CI 拡張データを表示できます。

プロファイルセットアップの構成手順では、エンドポイント識別用の代替 CI トリガーフィールドを選択して、McAfee ePO ルックアップからの CI 拡張データを関連するセキュリティインシデントに入力することができます。作成したカスタムフィールドを含む、セキュリティインシデントの任意のフィールドを代替 CI トリガーフィールドとして選択できます。この代替 CI フィールドをバックアップとして選択することで、インシデントの作成時に、関連するセキュリティインシデントに CI フィールドが設定されていない場合でもプロファイルが実行されるようにします。

例として、Security Operations Center (SOC) のアナリストとして、セキュリティインシデントのカスタムフィールド「自分のセキュリティインシデントの IP アドレス (IP Address on my security incident)」を作成します。インシデントの作成時にこのカスタムフィールドの値がセキュリティインシデントの [構成アイテム] フィールドに表示されないと思われる場合は、この IP アドレスをスキャンするようにプロファイルを設定できます。一致すると、選択したフィールドのセキュリティインシデントに IP アドレスが表示されます。次の図では、この例の IP アドレスの代替フィールドとして [識別された CI] フィールドが選択されています。

次の図は、ワークフローの最初の検索で構成アイテムへの一致をスキャンする方法を示しています。代替 CI トリガーフィールドが有効になっている場合、2 番目の検索で代替値の一致がスキャンされます。

CI フィールドまたは代替 CI フィールドに対して一致する ID が見つからない場合は、作業メモがログに記録され、セキュリティインシデントにメッセージが表示されます。一致するものが見つからない場合、イベントに関連するセキュリティインシデントに拡張データは入力されません。

代替 CI トリガーフィールドを有効にし、プロファイルの構成手順中に一致する ID を表示するフィールドを選択します。代替 CI フィールドを有効にするこの手順については、他のプロファイル構成要件とともに McAfee ePO 統合のためのプロファイルの構成で説明されています。