Definição de configurações de carimbo de data/hora para aquisição de triagem

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura
  • Defina e verifique as configurações de carimbo de data/hora antes do procedimento de instalação.

    Antes de Iniciar

    Função necessária: Administrador de incidentes de segurança da NowPlatform (sn_si.admin)

    Antes de instalar a aplicação FireEye, existem alguns pré-requisitos que precisam ser executados no FireEye.

    A aquisição de triagem pode ser solicitada com uma entrada do campo "Em torno do carimbo de data/hora" ou do campo "Padrão". O around carimbo de data/hora solicita informações coletadas durante um período especificado antes do carimbo de data/hora até um período especificado após o carimbo de data/hora. O carimbo de data/hora é a hora em que o evento que gerou o alerta ocorreu. Se você selecionar Padrão, o Dispositivo de segurança de endpoint solicitará informações do host para todos os dados relacionados a um evento.

    Quando um usuário da Segurança de endpoint solicita uma coleta de triagem com base em uma data e hora específicas, o agente retorna informações para uma janela de tempo especificada antes e depois do alerta. As configurações de carimbo de data/hora controlam o comprimento da janela da coleção de triagem. As configurações de carimbo de data/hora se aplicam somente a eventos de URL do agente (eventos de monitor de URL) e eventos de chave de registro (eventos de chave de registro).

    Você pode usar a guia Configurações de carimbo de data/hora para especificar o período de tempo antes e depois do carimbo de data/hora durante o qual as informações são coletadas. As configurações de carimbo de data/hora podem variar de 0 a 86400 segundos. O padrão para ambas as configurações é 600 segundos.

    Você pode usar a guia Configurações de carimbo de data/hora na página Configurações de triagem automática para especificar o período de tempo antes e depois do carimbo de data/hora durante o qual as informações são coletadas. O carimbo de data/hora é a hora em que ocorreu o evento que acionou o alerta.

    Procedimento

    1. Navegar até IU da Web de segurança de endpoint.
    2. Selecionar Administrador > Configurações de triagem.
    3. Clicar Configurações de carimbo de data/hora na Configurações de triagem automática página.
    4. Especifique o período de tempo antes e depois do carimbo de data/hora para o qual as informações são necessárias.
    5. Insira o número de segundos antes do carimbo de data/hora especificado para o qual as informações são necessárias.
    6. Insira o número de segundos após o carimbo de data/hora para o qual as informações são necessárias.
    7. Clicar Salvar.
      Nota:
      Você pode mudar todos os valores na página de volta para as configurações padrão clicando em Redefina para os padrõesE clicando em Salvar.
      • Área do espaço de aquisição: A página Aquisições mostra quanto espaço em disco resta para aquisições.
      • Definição de limites de utilização de disco para aquisições:
        • As triagens, aquisições de arquivos e aquisições de dados podem se acumular ao longo do tempo e usar uma quantidade crescente de espaço em disco. Para controlar isso, você pode alocar uma quantidade definida de espaço em disco para eles. Dez por cento do espaço em disco especificado está reservado para aquisições de triagem automática. Quando o espaço total de aquisição alocado é excedido, as triagens automáticas mais antigas são excluídas.
        • Quando o tamanho total do disco das aquisições concluídas excede um limite especificado, o Endpoint Security Appliance exclui as aquisições concluídas mais antigas até que espaço em disco suficiente seja limpo para colocar o total abaixo do limite especificado. As aquisições que ainda não foram concluídas não são afetadas.
        • O Dispositivo de segurança de endpoint exclui automaticamente as aquisições se um administrador, analista ou investigador usar a IU da web do Endpoint Security para excluir manualmente o agente associado.
        Para definir limites de utilização de disco para aquisições concluídas usando a IU da Web:
      • Navegue até IU da Web de segurança de endpoint .
      • Selecionar Limites de utilização do disco em Administrador menu.
      • Em Limite de espaço de aquisição Especifique a quantidade máxima de espaço em disco (em GB) que pode ser usada para armazenar aquisições de triagem, arquivo e dados. Os valores e padrões válidos variam de acordo com o modelo do Dispositivo de segurança de endpoint. Os valores apropriados para o seu modelo são mostrados na página Limites de utilização de disco.
      • Clicar Salvar.
      Nota:
      Todas as configurações mencionadas são honradas e, em caso de falhas ou erros, a Now Platform retorna esses erros.