Depois de criar um perfil e selecionar os recursos McAfee ePO que deseja que o perfil execute, defina as configurações do perfil para que ele seja executado somente quando um conjunto de condições específicas for atendido.

Você tem a flexibilidade de definir essas condições de gatilho para que o perfil seja executado automaticamente com base nos valores de campo padrão que correspondem a um incidente de segurança Now Platform® Security Incident Response. Como alternativa, você pode configurar um perfil para que ele pesquise correspondências nos valores de campo que você identificar especificamente no incidente de segurança.

Uma das chaves para a funcionalidade da integração e como um perfil funciona é o campo Item de configuração (IC) no incidente de segurança Now Platform® Security Incident Response (SIR). O valor deste campo é o valor principal em um incidente de segurança. Este valor é usado para corresponder os IDs de seus ativos às informações armazenadas no banco de dados Now Platform®. Quando um incidente de segurança SIR é criado por um evento de segurança e um perfil é ativado, seus ativos são verificados quanto a um valor correspondente para um nome de domínio totalmente qualificado (FQDN), um nome de host ou um endereço IP com base no valor de o campo Item de configuração.

Em um caso ideal, um valor correspondente é encontrado no banco de dados e os dados podem ser coletados do console McAfee ePO para o ativo correspondente, puxados para sua instância Now Platform® e exibidos nas listas relacionadas de um incidente de segurança. A figura a seguir mostra um exemplo do campo Item de configuração preenchido com um nome de host em um incidente de segurança SIR.

Nos casos em que o campo Item de configuração (IC) não estiver preenchido no incidente de segurança, ou uma correspondência não puder ser encontrada para um FQDN, um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo na segurança incidente para exibir todos os dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos.

Durante a etapa de configuração da configuração do perfil, você pode selecionar um campo de gatilho de IC alternativo para identificação de endpoint para garantir que os dados de aprimoramento de IC da pesquisa McAfee ePO sejam preenchidos no incidente de segurança associado. Você pode selecionar qualquer campo no incidente de segurança como um campo de gatilho de IC alternativo, incluindo campos personalizados que você cria. Ao selecionar este campo de IC alternativo como backup, você garante que seus perfis sejam executados mesmo se o campo de IC não estiver preenchido no incidente de segurança associado na criação do incidente.

Por exemplo, como analista do centro de operações de segurança (SOC), você cria um campo personalizado para um incidente de segurança chamado Endereço IP no meu incidente de segurança. Se você achar que o valor deste campo personalizado não será exibido no campo Item de configuração no incidente de segurança após a criação do incidente, configure o perfil para que ele verifique esse endereço IP. Se correspondido, o endereço IP será exibido no incidente de segurança no campo de sua escolha. Na figura a seguir, o campo IC identificado é selecionado como o campo alternativo para o Endereço IP para este exemplo.

A figura a seguir ilustra como a primeira pesquisa do fluxo de trabalho verifica correspondências para itens de configuração. Se o campo Gatilho de IC alternativo estiver habilitado, a segunda pesquisa verificará correspondências para valores alternativos.

Se os IDs correspondentes não forem encontrados para o campo de IC ou o campo de IC alternativo, uma anotação de trabalho será registrada e uma mensagem será exibida no incidente de segurança. Quando nenhuma correspondência é encontrada, nenhum dado de aprimoramento é preenchido nos incidentes de segurança relacionados ao evento.

Você habilita o campo de gatilho de IC alternativo e seleciona o campo no qual deseja exibir o ID correspondente durante a etapa de configuração de um perfil. Esta etapa para habilitar o campo de IC alternativo é descrita junto com os outros requisitos de configuração de perfil em Configurando perfis para a integração McAfee ePO.