Configure perfis e incidentes de segurança para FireEye HXintegração

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • Depois de criar um perfil e selecionar FireEye HXas capacidades que você deseja que o perfil execute, defina as configurações para que o perfil possa ser invocado somente sob as condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Selecione um campo de entrada alternativo para o campo Item de configuração (IC), se necessário, e defina condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atenda às condições do gatilho for criado.
    Nota:
    Você pode navegar até Configuração de perfil página somente depois de inserir o. Detalhes do perfil.

    Procedimento

    1. Navegar até Integração do FireEye > Perfis de capacidade do FireEye.
    2. Clicar Avançar em Detalhes do perfil Após concluir a seção Detalhes do perfil.
    3. Revise e configure as seguintes seções:
      • Definir critérios de incidente (automação): Defina as condições de incidente de segurança que acionariam automaticamente o. FireEye HXcapacidades do perfil. Se você não selecionar Definir critério de incidente , o perfil e as capacidades subjacentes podem ser invocados manualmente a partir do incidente de segurança.
        • Selecionar Definir critério de incidente opção para acionar automaticamente FireEye HXcapacidades no perfil.
        • Em Condições do filtro, selecione o campo obrigatório.
        • Você pode adicionar Novos critérios E também definem a condição OR ou AND.
          Nota:
          Isolar host, Remover isolamento de host, Obter arquivo não pode ser acionado automaticamente.
      • Configuração adicional: Quando o campo Item de configuração (IC) não é preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você pode selecionar um campo alternativo no incidente de segurança para consultar o. FireEye HXAPIs.

        Seção de configuração adicional para o perfil de capacidade FireEye.

      • MarcadoresOpcionalmente, você pode marcar incidentes de segurança com FireEye HXmarcadores de perfil iniciado, perfil concluído e perfil com falha.

        Selecione Marcador de exibição para habilitar incidentes de segurança de marcação, o nome do perfil é prefixado ao habilitar o marcador. Por padrão, esta opção está desabilitada para todos os perfis.

        Habilitando marcadores para incidentes de segurança.

      • Aprovações: Selecione Requer Aprovação caixa de seleção para fornecer um nível extra de controle ao usar o. FireEye HXcapacidades para isolar máquinas host, restaurá-las para a rede e obter os arquivos.

        A opção de aprovações na configuração de perfil aparece somente para Isolar host, Remover isolamento de host e Obter capacidades de arquivo.

        Configuração de parâmetros na seção Aprovação.

    4. Clique em Concluído.
    5. Verifique FireEye HXcondições do gatilho.