Profil konfigurieren

In diesem Schritt konfigurieren Sie ein Fähigkeitsprofil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Sie definieren, welche Bedingungen für Security Incidents automatisch die für das Profil ausgewählten McAfee ePO -Fähigkeiten auslösen. Sie haben auch die Möglichkeit, ein alternatives Eingabefeld für das Feld Configuration Item (CI) auszuwählen und Filterbedingungen so festzulegen, dass nur die Security Incidents, die sich auf Ihr auslösendes Event beziehen, das Profil automatisch starten. Der Konfigurationsschritt umfasst die folgenden Einstellungen im Konfigurationsformular für das Profil.

Alternatives CI-Auslöserfeld (Configuration Item).

In Fällen, in denen das Feld Konfigurationselement (CI) im Security Incident Now Platform® Security Incident Response (SIR) nicht mit einem Wert ausgefüllt ist oder keine Übereinstimmung in der Datenbank gefunden werden kann, können Sie ein alternatives Feld im Security Incident auswählen, um ein beliebiges anzuzeigen übereinstimmende CI-Ergänzungsdaten, die beim Scan Ihrer Assets gefunden wurden. Weitere Informationen zu den Feldern Konfigurationselement und Alternatives Konfigurationselement in einem Security Incident finden Sie unter Definieren von Auslöserbedingungen mit einem Konfigurationselement (CI)-Feld für ein McAfee ePO -Profil.

Sicherheits-Tags

Damit Sie den Status isolierter Hostcomputer und die Initiierung von Malware-Scans nachverfolgen können, ist eine optionale Tagging-Funktion verfügbar. Standardmäßig ist diese Option im Konfigurationsformular für Profile deaktiviert. Wenn diese Option während des Konfigurationsschritts aktiviert ist, werden Sicherheits-Tag-Namen im Konfigurationsformular angezeigt. Dies sind die Namen der Tags, die für zugehörige Security Incidents angezeigt werden. Diese Tags informieren Sie, wenn eine Hostisolierungsaktion erfolgreich initiiert und genehmigt wird. Nachdem ein Host erfolgreich an das Netzwerk zurückgegeben wurde, wird das Sicherheits-Tag automatisch aus dem Security Incident entfernt. Bei Malware-Scans wird ein Tag für den zugehörigen Security Incident angezeigt, wenn ein Scan geplant ist. Nach Abschluss des Scans wird das geplante Tag automatisch durch ein Tag ersetzt, das angibt, dass der Scan erfolgreich abgeschlossen wurde.

Automatischer Auslöser basierend auf Incident

Wenn die Option Auto-trigger based on incident (Automatischer Auslöser basierend auf Incident) aktiviert ist, ist der Generator für Filterbedingungen verfügbar, und Sie müssen Filterbedingungen festlegen, die angeben, wann das Profil automatisch ausgeführt wird. Ein gängiger Filter ist „Kategorie ist schädliche Codeaktivität“™ und „Geschäftsauswirkung“ ist 1 – Kritisch™. Mit diesen Filtern wird das Profil nur von Security Incidents gestartet, die sich auf böswilligen Code beziehen und kritische Auswirkungen auf das Geschäft haben. Durch die Verwendung der Option Auto-trigger (Automatischer Auslöser) kann die Anzahl der Security Incidents reduziert werden, die das Profil automatisch aufrufen.

Genehmigungen

Wenn Ihre Organisation eine zusätzliche Kontrolle über Aktionen wie das Isolieren von Hostcomputern und das Initiieren von Malware-Scans wünscht, können Sie die Option Genehmigung erforderlich während des Konfigurationsschritts für ein Profil aktivieren.

Wenn beispielsweise sowohl die Genehmigungs- als auch die Tagging-Funktion für ein Profil aktiviert sind, wird der zugehörige Security Incident automatisch getaggt, nachdem eine Anforderung zum Isolieren oder Zurückgeben eines Hostcomputers an das Netzwerk zur Genehmigung übermittelt wurde. Anforderungen werden standardmäßig zur Genehmigung an einen Benutzer mit der Rolle sn_si.admin gesendet. Diese Genehmigung kann jedoch einer anderen Person oder Genehmigungsgruppe zugewiesen werden, um den Anforderungen Ihrer Organisation zu entsprechen. Genehmiger verarbeiten Anforderungen in Meine Genehmigungen in ihren Now Platform® -Instanzen. Sicherheits-Tags werden für zugehörige Security Incidents angezeigt. Alle Workflow-Aktivitäten werden auch in Arbeitsnotizen protokolliert, um einen Audit-Pfad zu erstellen.

ServiceNow Audit-Protokoll in der McAfee ePO -Konsole

In Version 5.10.0 von McAfee ePOwird die Registerkarte ServiceNow mit einem Protokoll der Befehle angezeigt, die von Ihrer Instanz Now Platform® initiiert werden. Nachdem eine Aktion oder Abfrage aus einem Profil in Ihrer Instanz Now Platform® auf einem Hostcomputer (Endpunkt) in der Konsole McAfee ePO aufgerufen wurde, wird in der Konsole McAfee ePO ] ein Audit-Protokoll mit Befehlen von ServiceNow erstellt. Dieses Protokoll wird in der Systemstruktur in der Konsole McAfee ePO angezeigt und hilft Ihnen, die Zeiten der Befehle zu überprüfen, die an bestimmte Endpunkte gesendet werden. Führen Sie die folgenden Schritte aus, um protokollierte ServiceNow -Ereignisse auf bestimmten Computern in einer McAfee ePO -Konsole anzuzeigen.

1. Navigieren Sie in der Konsole McAfee ePO zur Systemstruktur, und suchen Sie die Registerkarte ServiceNow.
2. Klicken Sie auf die Registerkarte, um eine Liste der Hostcomputer zu öffnen.
3. Klicken Sie in der Spalte Name auf einen Hostnamen, um das Audit-Protokoll zu öffnen.

In der folgenden Abbildung wird ein Beispiel für ein Protokoll für einen Host (PODCLIENT1) angezeigt.

Die von den Profilen in Ihrer Instanz Now Platform® initiierten Events werden aufgezeichnet und im Protokoll angezeigt. Überprüfen Sie den Status des Hostcomputers, um sicherzustellen, dass die im Protokoll aufgeführten Events auf dem Host erfolgreich abgeschlossen wurden.

Beispielprofile

Die folgenden Themen enthalten Beispiele für die Konfiguration von Profilen und das Testen von Security Incidents. Diese Beispiele enthalten Profile für alle McAfee ePO -Fähigkeiten, die für diese Integration verfügbar sind.