Configurar perfis e incidentes de segurança para consultas de enriquecimento do sistema para a integração McAfee ePO

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 4 min. de leitura

    • Defina as configurações de perfil para que o perfil seja acionado somente nas condições definidas por você.

    Antes de Iniciar

    Função necessária: Now Platform® administrador de incidentes de segurança (sn_si.admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Defina as condições que acionam automaticamente as capacidades McAfee ePO que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.

    Procedimento

    1. Se a página Configuração não for exibida, clique em Configuração na barra de andamento.
    2. No formulário, preencha os campos
      OpçãoDescrição
      Habilitar campo de gatilho de IC alternativo Campo de gatilho de item de configuração (IC) alternativo. O padrão é limpo.

      Quando esta caixa de seleção está desmarcada e a opção de campo de gatilho de IC alternativo está desabilitada, uma alternativa para o campo de IC não é identificada. Se desabilitado, um valor para o campo de IC deverá ser preenchido em um incidente de segurança SIR, e o valor no campo deverá ser reconhecido pelo console McAfee ePO antes que o perfil reúna dados de aprimoramento.

      Marque esta caixa de seleção se você acredita que o campo de IC não será preenchido na criação do incidente, mas as informações de IC serão preenchidas em outro campo no incidente de segurança. Quando esta opção está habilitada, a lista de seleção do campo de gatilho de IC alternativo é exibida. Escolha um campo alternativo na lista de seleção para verificar seus critérios de pesquisa de IC.

      Para obter mais informações sobre o campo de gatilho de IC alternativo, consulte Definição de condições de acionamento com um campo de item de configuração (IC) para um perfil McAfee ePO.
      Marcadores de exibição Os marcadores de segurança são exibidos em incidentes de segurança. O padrão é limpo.

      Quando esta caixa de seleção está desmarcada e a opção de marcação está desabilitada, nenhum nome de marcador de segurança é exibido no formulário de configuração e os marcadores não são exibidos em incidentes de segurança relacionados. Para este exemplo, a opção de marcadores de segurança está desabilitada.
      Gatilho automático com base no incidente Condições do filtro. O padrão é limpo.

      Quando a caixa de seleção está desmarcada e a opção está desabilitada, o perfil deve ser invocado manualmente a partir de um incidente de segurança.

      Quando esta opção está habilitada, o Construtor de condições de filtro é exibido. É necessário definir as condições de filtragem para especificar quando o perfil é executado automaticamente após a criação do incidente.

      Um exemplo comum de um filtro para um perfil que executa consultas de aprimoramento é Categoria - Atividade de código mal-intencionado e Impacto nos negócios é 1-Crítico. Essas condições de filtro ajudam a localizar os incidentes relacionados a tipos específicos de eventos de segurança e ajudam a limitar o número de incidentes de segurança que você precisa revisar.

      Essas configurações de filtro permanecem salvas até que você as altere e estão disponíveis para edição durante a etapa de visualização e incidente de teste da configuração.
      Requer aprovação Opção de aprovação da solicitação. O padrão é limpo.

      Esta opção de aprovação está disponível para qualquer perfil. Normalmente, as aprovações são usadas para capacidades que invocam ações como isolamento de host e verificações de malware.

      Quando a caixa de seleção está desmarcada e esta opção está desabilitada, nenhuma solicitação de aprovação é enviada. Para este exemplo, nenhuma permissão anterior é necessária para consultas de aprimoramento do sistema.
      Configurar perfil de capacidade da McAfee
    3. Para habilitar a opção de campo de IC alternativo e definir as condições de filtragem que invocam automaticamente este perfil, siga estas etapas.
      1. Marque a caixa de seleção Habilitar campo de gatilho de IC alternativo.
        O campo Gatilho de IC alternativo é exibido. Para este exemplo, como um usuário com a função sn_si.admin, você acredita que o campo de IC não será preenchido no incidente de segurança após a criação do incidente. Como alternativa, você acha que as informações de IC para um FQDN, nome de host ou endereço IP serão preenchidas no campo IC identificado no incidente de segurança e seleciona o campo IC identificado como uma alternativa. O IC identificado é selecionado para este exemplo, mas você pode usar qualquer campo no incidente de segurança para o IC alternativo.
      2. Na lista de seleção de campo de gatilho de IC alternativo exibida, selecione o campo IC identificado.

        Todos os campos disponíveis no incidente de segurança são exibidos na lista, incluindo todos os campos personalizados. No campo Gatilho de IC alternativo, IC identificado é exibido.

        Quando este perfil é invocado e o campo de IC não é preenchido no incidente de segurança associado após o gatilho do evento inicial, o perfil usa alternativamente o valor do campo de IC identificado na pesquisa.

      3. Marque a caixa de seleção Gatilho automático com base no incidente.
        O construtor de condições de filtro é exibido. Com esta opção, defina as condições de filtragem e especifique quando o perfil é invocado automaticamente após a criação de um incidente de segurança.
      4. Defina as condições de incidente SIR que acionarão automaticamente os recursos do ePO selecionados para este perfil específico.
      5. Se as capacidades de perfil que executam uma ação em um endpoint precisarem de aprovação, marque a caixa de seleção Requer Aprovação.
      6. Selecione uma aprovação usando o ícone de pesquisa.
    4. Clique em Concluir.
      Você configurou o perfil com sucesso para que ele seja acionado automaticamente após a criação do incidente e um campo alternativo seja usado para preencher os resultados de IC correspondentes.