Konfigurieren Sie Profile und Security Incidents für FireEye HXIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer
  • Nachdem Sie ein Profil erstellt und ausgewählt haben FireEye HXFähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen so, dass das Profil nur unter den definierten Bedingungen aufgerufen werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Wählen Sie bei Bedarf ein alternatives Eingabefeld für das Feld Konfigurationselement (CI) aus, und legen Sie Filterbedingungen fest, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.
    Hinweis:
    Sie können zu navigieren Profilkonfiguration Seite erst, nachdem Sie eingegeben haben Profildetailsan.

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofilean.
    2. Klicken Weiter Auf Profildetails Seite nach Abschluss des Abschnitts „Profildetails“.
    3. Überprüfen und konfigurieren Sie die folgenden Abschnitte:
      • Incident-Kriterien Definieren (Automatisierung): Definieren Sie die Security Incident-Bedingungen, die automatisch ausgelöst würden FireEye HXFähigkeiten für das Profil. Wenn Sie nicht auswählen Definiert Incident-Kriterien Option, dann können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
        • Auswählen Definiert Incident-Kriterien Option zum automatischen Auslösen FireEye HXFähigkeiten im Profil.
        • In Filterbedingungen, Wählen Sie das erforderliche Feld aus.
        • Sie können hinzufügen Neues Kriterium Und definieren Sie auch die ODER oder die UND-Bedingung.
          Hinweis:
          „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ können nicht automatisch ausgelöst werden.
      • Zusätzliche Konfiguration: Wenn das Feld Konfigurationselement (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um abzufragen FireEye HXAPIs.

        Abschnitt „zusätzliche Konfiguration“ für das FireEye-Fähigkeitsprofil.

      • Tags: Sie können Security Incidents optional mit markieren FireEye HXTags „Profil initiiert“, „Profil abgeschlossen“ und „Profil fehlgeschlagen“.

        Rufen Sie die Eigenschaft Tag anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung von Security Incidents. Der Profilname wird beim Aktivieren des Tags vorangestellt. Standardmäßig ist diese Option für alle Profile deaktiviert.

        Tags für Security Incidents werden aktiviert.

      • Genehmigungen: Wählen Sie aus Genehmigung erforderlich Kontrollkästchen, um bei Verwendung von eine zusätzliche Steuerungsstufe bereitzustellen FireEye HXFähigkeiten zum Isolieren von Hostcomputern, Wiederherstellen im Netzwerk und zum Abrufen der Dateien.

        Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Fähigkeiten „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ angezeigt.

        Parameter werden im Abschnitt „Genehmigung“ eingerichtet.

    4. Klicken Sie auf Erledigt.
    5. Verifizieren FireEye HXAuslöserbedingungen.