Zusätzliche FireEye-Aktionen für Endpunkt

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Die FireEye-Integration unterstützt die Ausführung zusätzlicher Aktionen, die über die Goldstandardaktionen hinausgehen.

    Diese Aktionen umfassen Selektierungserfassung und Datenerfassung. Standardmäßig werden zwei Datenerfassungen unterstützt:
    • Skript für umfassende Untersuchungsdetails
    • Standardskript für Untersuchungsdetails

    Darüber hinaus wird auch die Selektierungsakquise standardmäßig unterstützt. Alle diese drei werden standardmäßig zusammen mit der Quelle erstellt. Kunden können auch eigene Aktionen erstellen, z. B. Datenerfassungen aus dem FireEye-Modul „Zusätzliche Aktionen“.[1] Die maximale Dateigröße, die für zusätzliche FireEye-Aktionen unterstützt wird, beträgt 1024. Dieser Wert kann durch Ändern von konfiguriert werden com.glide.attachment.max_size, und die standardmäßige Zeitüberschreitung beträgt 120 Minuten und kann auf der Seite „FireEye-Standardeinstellungen“ konfiguriert werden.

    Skript für umfassende Untersuchungsdetails

    Ermöglicht das Sammeln aller forensischen und untersuchenden Artefakte vom Endpunkt, ist jedoch die teuerste Option. Diese Konfiguration ist ideal für Situationen, in denen nur ein Fenster zum Sammeln von Daten vom betreffenden Endpunkt vorhanden ist und die Möglichkeit zum Erfassen weiterer Daten später nicht garantiert werden kann. Verwenden Sie diese Aktion daher mit Vorsicht.

    Standardskript für Untersuchungsdetails

    Aktiviert die gängigsten Optionen zum Sammeln von forensischen und untersuchenden Artefakten von einem Endpunkt. Dient als primäres Reaktionstool, wenn Sie den Verdacht haben, dass ein Endpunkt gefährdet ist, und eine eingehende Analyse dieses Endpunkts durchführen müssen. Ziel ist es, ein Gleichgewicht zwischen der Erfassung der relevantesten und wertvollsten Daten und der Vermeidung kostspieliger Optionen zu finden, die später erfasst werden können, wenn weitere Untersuchungen sie als erforderlich erweisen.

    Selektierung – Akquisition

    Selektierungssammlungen enthalten Informationen aus dem Rückblick-Cache sowie zusätzliche forensische Audit-Informationen, z. B. URL-Downloadverlauf, Dateidownloadverlauf, Prozess- und Portlisten sowie Standardsysteminformationen. Möglicherweise möchten Sie diese Informationen überprüfen, wenn anomaler Netzwerkverkehr erkannt wird und Sie mehr Transparenz in Endpunktaktionen wünschen.

    Datenerfassungsskripts in FireEye verwalten

    Mit Datenanforderungen für die Erfassung (manchmal auch als Live-Antwortanforderungen bezeichnet) können Sie alle benötigten Daten von einem einzelnen laufenden Endpunkt abrufen. Auf der Seite „Datenerfassungsskripts“ in FireEye können Sie die für Datenerfassungsanforderungen verwendeten Datenerfassungsskripts erstellen, bearbeiten, kopieren und löschen.

    Zugriff auf die Seite „Datenerfassungsskripts“ in FireEye

    So greifen Sie auf die Seite „Datenerfassungsskripts“ zu:
    1. Navigieren Sie zu Endpunktsicherheit Webbenutzeroberfläche.
    2. Wählen Sie im Menü Administrator die Option Datenerfassungsskripts aus.

    Erstellen eines Skripts in FireEye

    So erstellen Sie ein Datenerfassungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator Menü der Endpoint Security-Webbenutzeroberfläche.
    2. Klicken Skript erstellenan.
    3. Geben Sie einen Namen für das neue Skript in ein Skriptname an.
    4. Geben Sie optional eine Beschreibung des Skripts ein.
    5. Wählen Sie das Betriebssystem aus, für das das Skript gilt. Sie können im Dialogfeld „Skript erstellen“ nur ein einzelnes Betriebssystem auswählen.
    6. Klicken Erstellen um die Skriptdefinition zu starten.
    7. Wählen Sie in einen Beschaffungsdatentyp aus Fügen Sie einen Beschaffungstyp hinzuDropdown-Feld und klicken Sie auf Hinzufügenan. Optionen für den angeforderten Beschaffungstyp werden rechts neben der Skriptliste angezeigt.
    8. Geben Sie Werte für die Beschaffungstypoptionen an, oder verwenden Sie die bereits ausgewählten Standardwerte. Die Web-UI warnt Sie nicht und entfernt auch keine Tabulatoren, Leerzeichen oder unerwünschte Zeichen (z. B. \n) in Ihren Spezifikationen.
    9. Wiederholen Sie die vorherigen beiden Schritte, um zusätzliche Daten für das Datenerfassungsskript anzufordern. Einige Beschaffungsdatentypen sind nur einmal für ein Skript verfügbar, während andere mehrmals angegeben werden können. Nach dem Hinzufügen eines Beschaffungstyps zu einem Skript wird die Liste der im verfügbaren Beschaffungstypen angezeigt Fügen Sie einen Beschaffungstyp hinzuDropdown-Feld wird entsprechend angepasst.
    10. Um einen Beschaffungsdatentyp aus dem Skript zu entfernen, klicken Sie auf das x-Symbol ( ) auf der Registerkarte „Beschaffung“ auf der linken Seite der Seite.
    Hinweis:
    Diese Integration unterstützt nicht Bearbeitungen vor Erwerb zulassen Option beim Erstellen von Skripts. Stellen Sie daher sicher, dass das Kontrollkästchen deaktiviert ist.

    Es wird ein Skript aus FireEye exportiert

    Sie können ein Datenerfassungsskript in eine JSON-Datei exportieren. So exportieren Sie ein Datenerfassungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator der Endpoint Security-Webbenutzeroberfläche.
    2. Wählen Sie im Menü Administrator die Option Datenerfassungsskripts aus.
    3. Wählen Sie links auf der Seite das Skript aus, das Sie exportieren möchten.
    4. auswählen Aktionen > Skript exportierenan.
    5. Eine JSON-Datei wird auf Ihren Computer heruntergeladen. Der JSON-Dateiname enthält das Betriebssystem, sodass Sie leicht bestimmen können, welche Skripts für welches Betriebssystem geeignet sind.

    Es wird eine neue Datenerfassungsaktion auf der Now Platform erstellt

    Um eine neue Aktion zu erstellen, gehen Sie wie folgt vor:
    1. Navigieren zu FireEye-Integration > FireEye: zusätzliche Aktionenan. Die Liste Zusätzliche FireEye-Aktionen wird angezeigt.
    2. Klicken Neuan. Das Formular für die neue Aktion wird angezeigt.
    3. Füllen Sie das Formular aus.
      Aktionsname Name der ausgeführten FireEye-Aktion Dieser Name hilft Ihnen, den Aktionstyp zu identifizieren und zu beschreiben.
      Akquisition Eine Akquisition ruft die zu analysierenden Daten ab. Dies ist ein schreibgeschütztes Feld und standardmäßig auf „Datenerfassung“ eingestellt.
      Quelle Name der FireEye-Quelle. In der Auswahlliste sind nur konfigurierte Quellen verfügbar.
      Fähigkeit Dies ist ein schreibgeschütztes Feld und wird mit der Fähigkeit „Zusätzliche Aktion(en) ausführen“ ausgefüllt
      Akquisitionstyp Typ der Beschaffungsaktion, die abgerufen und analysiert werden muss.
      Aktiv Dies zeigt an, dass die Aktion aktiv ist.
      Genehmigung erforderlich

      Wenn Sie die Option Genehmigung erforderlich aktivieren, ist das Feld Genehmiger im Formular verfügbar. Nachdem Sie eine Anforderung übermittelt haben, ist zum Abschließen der Anforderung eine Genehmigung durch die Gruppe erforderlich.
      Tag anzeigen Typ des Betriebssystems, z. B. Windows, Mac, Linux zum Hinzufügen von Skripts.
      Hinweis:
      Derzeit wird nur ein Betriebssystemtyp unterstützt. Sie können eine Aktion pro Betriebssystem erstellen. Erstellen Sie für andere Betriebssysteme nach Bedarf neue Aktionen.
      Skripts Das aus FireEye importierte Skript muss für den ausgewählten Betriebssystemtyp angegeben werden. Jedem Betriebssystemtyp kann nur ein Skript hinzugefügt werden.
    4. Klicken Übermittelnan.

    Datenerfassungen aus Security Incident auslösen

    Die erstellten zusätzlichen Aktionen können über den aufgerufenen zugehörigen Link ausgeführt werden Zusätzliche Aktion(en) für Endpunkt ausführen über den Security Incident.
    Hinweis:
    Bearbeitungen vor Erwerb zulassen Die FireEye-Funktion wird für die zusätzlichen Aktionen für den Endpunkt nicht unterstützt.