Configurar perfis e incidentes de segurança para consultas de aprimoramento do sistema para a integração McAfee ePO
Defina as configurações de perfil para que o perfil seja acionado somente nas condições que você definir.
Antes de Iniciar
Função necessária: Now Platform® administrador de incidentes de segurança (sn_si.admin)
Por Que e Quando Desempenhar Esta Tarefa
Defina as condições que acionam automaticamente os recursos McAfee ePO que você selecionou para o perfil. Você também pode selecionar um campo de entrada alternativo para o campo Item de Configuração (IC). Neste campo alternativo, você pode definir condições de filtragem para que somente os incidentes de segurança relacionados ao evento de acionamento acionem automaticamente o perfil.
Procedimento
-
No formulário, preencha os campos
Opção Descrição Habilitar campo de gatilho de IC alternativo Campo de gatilho de item de configuração (IC) alternativo. O padrão é desmarcado. Quando esta caixa de seleção está desmarcada e a opção de campo de gatilho de IC alternativo está desabilitada, uma alternativa para o campo de IC não é identificada. Se desabilitado, um valor para o campo de IC deve ser preenchido em um incidente de segurança SIR e o valor no campo deve ser reconhecido pelo console McAfee ePO antes que o perfil reúna dados de aprimoramento.
Marque esta caixa de seleção se você acredita que o campo de IC não será preenchido na criação do incidente, mas as informações de IC serão preenchidas em outro campo no incidente de segurança. Quando esta opção está habilitada, a lista de seleção do campo de gatilho de IC alternativo é exibida. Escolha um campo alternativo na lista de seleção para verificar seus critérios de pesquisa de IC.
Para obter mais informações sobre o campo de gatilho de IC alternativo, consulte Definir condições de gatilho com um campo Item de configuração (IC) para um perfil McAfee ePO.
Marcadores de exibição Marcadores de segurança são exibidos em incidentes de segurança. O padrão é desmarcado. Quando esta caixa de seleção está desmarcada e a opção de marcação está desabilitada, nenhum nome de marcador de segurança é exibido no formulário de configuração e os marcadores não são exibidos em incidentes de segurança relacionados. Para este exemplo, a opção de marcadores de segurança está desabilitada.
Gatilho automático com base no incidente Condições do filtro. O padrão é desmarcado. Quando a caixa de seleção está desmarcada e a opção desabilitada, o perfil deve ser invocado manualmente a partir de um incidente de segurança.
Quando esta opção está habilitada, o Construtor de condição de filtro é exibido. Você deve definir as condições de filtragem para especificar quando o perfil é executado automaticamente na criação do incidente.
Um exemplo comum de um filtro para um perfil que executa consultas de aprimoramento é Categoria é Atividade de código malicioso e Impacto nos negócios é 1-Crítico. Essas condições de filtro ajudam a localizar os incidentes relacionados a tipos específicos de eventos de segurança e ajudam a limitar o número de incidentes de segurança que você precisa revisar.
Essas configurações de filtro permanecem salvas até que você as altere e estão disponíveis para edição durante a etapa de visualização e incidente de teste da configuração.Requer aprovação Solicitar opção de aprovação. O padrão é desmarcado. Esta opção de aprovação está disponível para qualquer perfil. Normalmente, as aprovações são usadas para recursos que invocam ações como isolamento de host e verificações de malware.
Quando a caixa de seleção está desmarcada e esta opção está desabilitada, nenhuma solicitação de aprovação é enviada. Para este exemplo, nenhuma permissão prévia é necessária para consultas de aprimoramento do sistema.