Erstellen Sie ein Fähigkeitsprofil für die FireEye-Endpunktintegration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie aus FireEye HX Fähigkeiten, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um Fähigkeiten miteinander zu vereinigen, und würden Analysten helfen, die Untersuchung/Korrektur einfach durchzuführen.

    Im Folgenden finden Sie die Liste der Fähigkeiten, die Sie Profil(en) hinzufügen können:
    1. Hostdetails abrufen
    2. Angemeldete Anwender abrufen
    3. Netzwerkstatistiken abrufen
    4. Laufende Prozesse abrufen
    5. Laufende Services abrufen
    6. Datei abrufen
    7. Host isolieren
    8. Isolation entfernen

    Sie können die Funktionen „Datei abrufen“, „Host isolieren“ und „Host-Isolation entfernen“ beim Erstellen eines Profils nicht mit anderen Funktionen kombinieren. Profile für diese müssen einzeln erstellt werden. Andererseits können Systemdetails abrufen, angemeldete Anwender abrufen, Netzwerkstatistiken abrufen, laufende Prozesse abrufen und laufende Services abrufen zusammengefasst werden. Sie können Profile einzeln erstellen oder sie je nach Bedarf vollständig oder teilweise zusammenfassen. Sobald eine Fähigkeit in einem Profil enthalten ist, kann sie nicht in ein anderes Profil aufgenommen werden.

    Führen Sie die folgenden Schritte aus, um ein neues Fähigkeitsprofil zu erstellen:

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofilean.
      Die Liste der Fähigkeitsprofile wird angezeigt.
    2. Klicken Neuan.
    3. Füllen Sie die Felder im Formular aus.
      Name Name für FireEye HX Fähigkeitsprofil. Dieser Name hilft Ihnen, den Profiltyp zu identifizieren und zu beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name des FireEye HX Quelle. In der Auswahlliste sind nur konfigurierte Quellen verfügbar.
      FireEye HX-Fähigkeiten Fähigkeiten von FireEye HX Profil. Wählen Sie die für dieses Profil gewünschten Fähigkeiten aus der Spalte verfügbar aus, und verschieben Sie sie in die Spalte ausgewählt.
      Reihenfolge Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen teilen.

      Der Flow mit der niedrigsten Zahl hat die höchste Priorität.

      Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300, 400.
      Aktiv Dies gibt an, dass das Profil aktiv ist. Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für Profildetails mit der Fähigkeit „Hostdetails abrufen“.
    4. Klicken Weiter Um mit der Profilkonfiguration fortzufahren.
      Fähigkeitsprofil
      Hinweis:
      Die Funktionen „Host isolieren“, „Host-Isolierung entfernen“ und „Datei abrufen“ können nicht mit anderen Fähigkeiten kombiniert werden.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, Ihr Profil zu konfigurieren. Bevor Sie die Einstellungen für das Profil konfigurieren, sollten Sie die Konzepte für die Konfiguration von Profilen und Auslösebedingungen überprüfen. Weitere Informationen finden Sie unter Verstehen, wie Auslöserbedingungen mit einem Konfigurationselement für ein Profil funktionieren.