Après avoir créé un profil et sélectionné les McAfee ePO options que vous souhaitez que le profil exécute, vous configurez les paramètres du profil afin qu’il s’exécute uniquement lorsqu’un ensemble de conditions spécifiques est rempli.

Vous pouvez définir ces conditions de déclenchement afin que le profil s’exécute automatiquement en fonction des valeurs de champ par défaut qui correspondent à un Now Platform® Réponse aux incidents de sécurité incident de sécurité. Vous pouvez également configurer un profil pour qu’il recherche des correspondances sur les valeurs de champ que vous identifiez spécifiquement sur l’incident de sécurité.

Le champ Élément de configuration (CI) sur l’incident de sécurité (SIR) est l’une des clés de la fonctionnalité de l’intégration et du fonctionnement d’un Now Platform® Réponse aux incidents de sécurité profil. La valeur de ce champ est la valeur principale d’un incident de sécurité. Cette valeur est utilisée pour faire correspondre les ID de vos actifs avec les informations stockées dans la Now Platform® base de données. Lorsqu’un SIR incident de sécurité est créé par un événement de sécurité et qu’un profil est activé, vos actifs sont analysés pour rechercher une valeur correspondante pour un nom de domaine complet (FQDN), un nom d’hôte ou une adresse IP en fonction de la valeur du champ Élément de configuration.

Dans l’idéal, une valeur correspondante est trouvée dans la base de données, et les données peuvent être collectées à partir de la McAfee ePO console pour l’actif correspondant, extraites vers votre Now Platform® instance et affichées sur les listes connexes d’un incident de sécurité. La figure suivante est un exemple de champ Élément de configuration renseigné avec un nom d’hôte sur un SIR incident de sécurité.

Dans les cas où le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité, ou si aucune correspondance est introuvable pour un nom de domaine complet, un nom d’hôte ou une adresse IP correspondant à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour afficher toutes les données d’enrichissement de CI correspondantes trouvées lors de l’analyse de vos actifs.

Au cours de l’étape de configuration de la configuration du profil, vous pouvez sélectionner un autre champ de déclenchement CI pour l’identification du point de terminaison afin de vous assurer que les données d’enrichissement de CI issues de la McAfee ePO recherche sont renseignées dans l’incident de sécurité associé. Vous pouvez sélectionner n’importe quel champ de l’incident de sécurité comme champ de déclenchement CI alternatif, y compris les champs personnalisés que vous créez. En sélectionnant ce champ CI alternatif comme copie de sauvegarde, vous vous assurez que vos profils s’exécutent même si le champ CI n’est pas renseigné pour l’incident de sécurité associé lors de la création de l’incident.

Par exemple, en tant qu’analyste du centre des opérations de sécurité (SOC), vous créez un champ personnalisé pour un incident de sécurité appelé Adresse IP sur mon incident de sécurité. Si vous pensez que la valeur de ce champ personnalisé ne sera pas affichée dans le champ Élément de configuration de l’incident de sécurité lors de la création de l’incident, vous pouvez configurer le profil afin qu’il analyse cette adresse IP. Si elle correspond, l’adresse IP s’affiche sur l’incident de sécurité dans le champ de votre choix. Dans la figure suivante, le champ CI identifié est sélectionné comme champ alternatif pour l’adresse IP de cet exemple.

La figure suivante illustre comment la première recherche du workflow analyse les correspondances des éléments de configuration. Si le champ de déclencheur CI alternatif est activé, la deuxième recherche recherche des correspondances correspondant à d’autres valeurs.

Si les ID correspondants sont introuvables pour le champ CI ou l’autre champ CI, une note de travail est consignée et un message s’affiche sur l’incident de sécurité. Lorsqu’aucune correspondance n’est trouvée, aucune donnée d’enrichissement n’est renseignée sur les incidents de sécurité liés à l’événement.

Vous activez l’autre champ de déclencheur de CI et sélectionnez le champ sur lequel vous souhaitez afficher l’ID correspondant pendant l’étape de configuration d’un profil. Cette étape d’activation de l’autre champ CI est décrite, ainsi que les autres exigences de configuration de profil dans Configuration des profils pour l’intégration McAfee ePO.