Configurando perfis para a integração McAfee ePO

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Depois de criar um perfil e selecionar os recursos McAfee ePO que você deseja que o perfil execute, defina as configurações para que o perfil seja invocado somente sob as condições específicas que você definir.

    Configurando um perfil

    Nesta etapa, você configura um perfil de recurso para que ele seja executado somente quando as condições especificadas forem atendidas. Você define quais condições em incidentes de segurança acionam automaticamente os recursos McAfee ePO que você selecionou para o perfil. Você também tem a opção de selecionar um campo de entrada alternativo para o campo Item de configuração (IC) e definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento iniciem automaticamente o perfil. A etapa de configuração inclui as seguintes configurações no formulário de configuração do perfil.

    Campo de gatilho de item de configuração (IC) alternativo

    Nos casos em que o campo Item de configuração (IC) no incidente de segurança Now Platform® Security Incident Response (SIR) não estiver preenchido com um valor ou uma correspondência não puder ser encontrada no banco de dados, você poderá selecionar um campo alternativo no incidente de segurança para exibir qualquer dados de aprimoramento de IC correspondentes encontrados durante a verificação de seus ativos. Para obter mais informações sobre os campos Item de configuração e Item de configuração alternativo em um incidente de segurança, consulte Definir condições de gatilho com um campo Item de configuração (IC) para um perfil McAfee ePO.

    Marcadores de segurança

    Para ajudá-lo a rastrear o status das máquinas host isoladas e quando as verificações de malware são iniciadas, um recurso de marcação opcional está disponível. Por padrão, esta opção está desabilitada no formulário de configuração dos perfis. Se esta opção for habilitada durante a etapa de configuração, os nomes dos marcadores de segurança serão exibidos no formulário de configuração. Estes são os nomes dos marcadores exibidos em incidentes de segurança relacionados. Esses marcadores informam quando uma ação de isolamento de host é iniciada com sucesso e quando é aprovada. Depois que um host é retornado à rede com sucesso, o marcador de segurança é removido automaticamente do incidente de segurança. Para verificações de malware, um marcador é exibido no incidente de segurança relacionado quando uma verificação é programada. Depois que a verificação for concluída, o marcador programado será substituído automaticamente por um marcador que indica que a verificação foi concluída com sucesso.

    Acionar automaticamente com base no incidente

    Quando a opção Acionar automaticamente com base no incidente está habilitada, o construtor de condição de filtro está disponível e você deve definir condições de filtragem que especificam quando o perfil é executado automaticamente. Um filtro comum é Categoria é atividade de código malicioso™ e Impacto nos negócios é 1 - Crítico™. Com esses filtros, somente os incidentes de segurança relacionados ao código mal-intencionado e que têm um impacto crítico nos negócios iniciam o perfil. Usar a opção Gatilho automático pode reduzir o número de incidentes de segurança que invocam automaticamente o perfil.

    Aprovações

    Se sua organização deseja um nível extra de controle sobre ações como isolar máquinas host e iniciar verificações de malware, você pode habilitar a opção Requer aprovação durante a etapa de configuração de um perfil.

    Por exemplo, se os recursos de aprovação e marcação estiverem habilitados para um perfil, depois que uma solicitação para isolar uma máquina host ou devolvê-la à rede for enviada para aprovação, o incidente de segurança associado será marcado automaticamente para que a ação seja iniciada. As solicitações são enviadas para aprovação a um usuário com a função sn_si.admin por padrão, mas essa aprovação pode ser reatribuída a outro indivíduo ou a um grupo de aprovação para atender às necessidades da sua organização. Os aprovadores processam solicitações em Minhas aprovações em suas instâncias Now Platform®. Os marcadores de segurança são exibidos em incidentes de segurança relacionados. Todas as atividades de fluxo de trabalho também são registradas em anotações de trabalho para criar uma trilha de auditoria.

    ServiceNow log de auditoria no console McAfee ePO

    Na versão 5.10.0 de McAfee ePO, uma guia ServiceNow é exibida com um log de comandos que são iniciados a partir da sua instância Now Platform®. Depois que uma ação ou consulta é invocada de um perfil em sua instância Now Platform® em uma máquina host (endpoint) no console McAfee ePO, um log de auditoria de comandos ServiceNow é criado no console McAfee ePO. Este log é exibido na árvore do sistema no console McAfee ePO e ajuda a auditar os horários dos comandos que são enviados para endpoints específicos. Para exibir eventos ServiceNow registrados em máquinas específicas em um console McAfee ePO, siga estas etapas.

    1. Navegue até a Árvore do sistema no console McAfee ePO e localize a guia ServiceNow.
    2. Clique na guia para abrir uma lista de máquinas host.
    3. Na coluna Nome, clique em um nome de host para abrir o log de auditoria.

    Na imagem a seguir, um exemplo de log de um host (PODCLIENT1) é exibido.

    Figura 1. Cliente do PODC
    Árvore do sistema no console do ePO

    Os eventos iniciados a partir dos perfis na sua instância Now Platform® são registrados e exibidos no log. Verificando o status da máquina host, verifique se os eventos listados no log foram concluídos com sucesso no host.

    Perfis de exemplo

    Os tópicos a seguir incluem exemplos de como configurar perfis e testar incidentes de segurança. Esses exemplos incluem perfis para todos os recursos McAfee ePO que estão disponíveis para esta integração.