엔드포인트에 대한 FireEye 추가 작업

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • FireEye 통합은 표준 작업 이상의 추가 작업 실행을 지원합니다.

    이러한 작업은 환자 분류 수집 및 데이터 수집으로 구성됩니다. 기본적으로 두 가지 데이터 수집이 지원됩니다.
    • 포괄적인 조사 상세 정보 스크립트
    • 표준 조사 상세 정보 스크립트

    또한 환자 분류 획득도 즉시 지원됩니다. 이 세 가지는 모두 기본적으로 소스와 함께 생성됩니다. 고객은 FireEye 추가 작업 모듈에서 데이터 수집과 같은 자체 작업을 생성할 수도 있습니다. [1] FireEye 추가 작업에 지원되는 최대 파일 크기는 1024이며, 이 값은 com.glide.attachment.max_크기, 기본 시간 제한은 FireEye 기본 설정 페이지에서 구성할 수 있는 120분입니다.

    포괄적인 조사 상세 정보 스크립트

    엔드포인트에서 모든 포렌식 및 조사 아티팩트를 수집할 수 있지만 가장 비용이 많이 드는 옵션입니다. 이 구성은 해당 엔드포인트에서 데이터를 수집하기 위한 창이 하나뿐이고 나중에 더 많은 데이터를 수집하는 기능을 보장할 수 없는 상황에 이상적입니다. 따라서 이 작업은 주의해서 사용해야 합니다.

    표준 조사 상세 정보 스크립트

    엔드포인트에서 포렌식 및 조사 아티팩트를 수집하는 가장 일반적인 옵션을 활성화합니다. 엔드포인트가 손상되었을 수 있다고 의심되어 해당 엔드포인트에 대한 심층 분석을 수행해야 할 때 기본 응답 도구입니다. 가장 관련성이 높고 가치 있는 데이터를 수집하는 동시에 추가 조사를 통해 필요한 것으로 판명되면 나중에 수집할 수 있는 비용이 많이 드는 옵션을 피하는 것 사이의 균형을 유지하는 것을 목표로 합니다.

    환자 분류 취득

    분류 모음에는 조회 캐시 내의 정보와 URL 다운로드 기록, 파일 다운로드 기록, 프로세스 및 포트 목록, 표준 시스템 정보와 같은 추가 포렌식 감사 정보가 포함됩니다. 비정상적인 네트워크 트래픽이 탐지될 때 이러한 정보를 검사하고 엔드포인트 작업에 대한 가시성을 높이고자 할 수 있습니다.

    FireEye에서 데이터 수집 스크립트 유지 관리

    데이터 수집 요청(Live Response 요청이라고도 함)을 사용하면 실행 중인 단일 엔드포인트에서 필요한 모든 데이터를 수집할 수 있습니다. FireEye의 데이터 수집 스크립트 페이지를 사용하여 데이터 수집 요청에 사용되는 데이터 수집 스크립트를 생성, 편집, 복사 및 삭제할 수 있습니다.

    FireEye의 데이터 수집 스크립트 페이지에 액세스

    데이터 취득 스크립트 페이지에 액세스하려면
    1. 엔드포인트 보안 웹 사용자 인터페이스로 이동합니다.
    2. Admin 메뉴에서 Data Acquisition Scripts를 선택합니다.

    FireEye에서 스크립트 생성

    데이터 수집 스크립트를 생성하려면:
    1. 선택 데이터 취득 스크립트 > 관리자 Endpoint Security 웹 사용자 인터페이스의 메뉴입니다.
    2. 클릭 스크립트 작성.
    3. 에 새 스크립트의 이름을 입력합니다. 스크립트 이름 필드
    4. 선택적으로 스크립트의 설명을 입력합니다.
    5. 스크립트가 적용되는 운영 체제를 선택합니다. 스크립트 생성 대화상자에서 단일 운영 체제만 선택할 수 있습니다.
    6. 클릭 작성 스크립트 정의를 시작합니다.
    7. 다음에서 취득 데이터 유형 선택 취득 유형 추가드롭다운 상자를 클릭하고 추가. 요청한 취득 유형에 대한 옵션이 스크립트 목록의 오른쪽에 나타납니다.
    8. 취득 유형 옵션에 대한 값을 제공하거나 이미 선택된 기본값을 사용합니다. 웹 UI는 사용자에게 경고하거나 사양에서 탭, 공백 또는 원치 않는 문자(예: \n)를 제거하지 않습니다.
    9. 이전 2단계를 반복하여 데이터 수집 스크립트에 대한 추가 데이터를 요청합니다. 일부 취득 데이터 형식은 스크립트에 대해 한 번만 사용할 수 있는 반면 다른 데이터 형식은 두 번 이상 지정할 수 있습니다. 스크립트에 취득 유형을 추가하면 취득 유형 추가드롭다운 상자가 적절하게 조정됩니다.
    10. 스크립트에서 취득 데이터 유형을 제거하려면 페이지 왼쪽의 취득 탭에서 x 아이콘( )을 클릭합니다.
    주:
    이 통합은 다음을 지원하지 않습니다. 획득하기 전에 편집 허용 옵션을 선택합니다. 따라서 확인란이 선택 취소되어 있는지 확인하십시오.

    FireEye에서 스크립트 내보내기

    데이터 취득 스크립트를 JSON 파일로 내보낼 수 있습니다. 데이터 수집 스크립트를 내보내는 방법:
    1. 선택 데이터 취득 스크립트 > 관리자 엔드포인트 보안 웹 사용자 인터페이스의
    2. Admin 메뉴에서 Data Acquisition Scripts를 선택합니다.
    3. 페이지 왼쪽에서 익스포트할 스크립트를 선택합니다.
    4. 선택 작업 > 스크립트 익스포트.
    5. JSON 파일이 컴퓨터에 다운로드됩니다. JSON 파일 이름에는 운영 체제가 포함되어 있으므로 어떤 운영 체제에 대한 스크립트인지 쉽게 확인할 수 있습니다.

    에서 새 데이터 취득 동작 생성 ServiceNow AI Platform

    새 작업을 만들려면 다음 단계를 수행합니다.
    1. 다음으로 이동 FireEye 통합 > FireEye 추가 작업. FireEye 추가 작업 목록이 표시됩니다.
    2. 클릭 신규. 새 작업의 양식이 표시됩니다.
    3. 양식을 작성합니다.
      작업 이름 수행되는 FireEye 작업의 이름입니다. 이 이름은 작업 유형을 식별하고 설명하는 데 도움이 됩니다.
      취득 취득을 통해 분석할 데이터를 가져옵니다. 이 필드는 읽기 전용이며 기본값은 데이터 수집입니다.
      소스 FireEye 소스의 이름입니다. 구성된 소스만 선택 목록에서 사용할 수 있습니다.
      역량 읽기 전용 필드로, 추가 작업 실행 기능으로 채워집니다.
      취득 유형 획득 및 분석해야 하는 취득 작업의 유형입니다.
      활성 이는 작업이 활성 상태임을 나타냅니다.
      승인 필요

      승인 필요 옵션을 활성화하면 양식에서 승인자 필드를 사용할 수 있습니다. 요청을 제출한 후 요청을 완료하려면 그룹의 승인이 필요합니다.
      태그 표시 스크립트 추가를 위한 Windows, Mac, Linux와 같은 운영 체제의 유형입니다.
      주:
      현재는 한 가지 유형의 OS만 지원됩니다. 운영 체제당 하나의 작업을 생성할 수 있습니다. 다른 운영 체제의 경우 필요에 따라 새 작업을 생성합니다.
      스크립트 선택한 OS 유형에 대해 FireEye에서 가져온 스크립트를 제공해야 합니다. 각 OS 유형에 하나의 스크립트만 추가할 수 있습니다.
    4. 클릭 제출.

    보안 인시던트에서 데이터 수집 트리거

    생성된 추가 작업은 호출된 관련 링크를 통해 실행할 수 있습니다. 엔드포인트에서 추가 작업 실행 보안 인시던트에서.
    주:
    획득하기 전에 편집 허용 FireEye 기능은 엔드포인트의 추가 작업에 대해 지원되지 않습니다.