Erstellen Sie ein neues Fähigkeitsprofil für die FireEye-Endpunktintegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie aus FireEye HXFähigkeiten, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um Fähigkeiten zusammen zu vereinigen, und würden Analysten helfen, die Untersuchung/Korrektur einfach durchzuführen.

    Im Folgenden finden Sie die Liste der Fähigkeiten, die Sie Profil(en) hinzufügen können:
    1. Hostdetails abrufen
    2. Angemeldete Anwender abrufen
    3. Netzwerkstatistiken abrufen
    4. Laufende Prozesse abrufen
    5. Laufende Services abrufen
    6. Datei abrufen
    7. Host isolieren
    8. Isolation entfernen

    Sie können beim Erstellen eines Profils die Funktionen „Datei abrufen“, „Host isolieren“ und „Hostisolierung entfernen“ nicht mit anderen Funktionen kombinieren. Profile für diese müssen einzeln erstellt werden. Andererseits können Systemdetails abrufen, angemeldete Anwender abrufen, Netzwerkstatistiken abrufen, laufende Prozesse abrufen und laufende Services abrufen zusammengefasst werden. Sie können Profile einzeln erstellen oder sie je nach Bedarf vollständig oder in Teilen gruppieren. Sobald eine Fähigkeit in einem Profil enthalten ist, kann sie nicht in ein anderes Profil aufgenommen werden.

    Führen Sie die folgenden Schritte aus, um ein neues Fähigkeitsprofil zu erstellen:

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofilean.
      Die Liste der Fähigkeitsprofile wird angezeigt.
    2. Klicken Neuan.
    3. Füllen Sie die Felder im Formular aus.
      Name Name für FireEye HXFähigkeitsprofil. Dieser Name hilft Ihnen, den Profiltyp zu identifizieren und zu beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name von FireEye HXQuelle. Nur konfigurierte Quellen sind in der Auswahlliste verfügbar.
      FireEye HX Fähigkeiten Fähigkeiten von FireEye HXProfil. Wählen Sie die Fähigkeiten aus, die Sie für dieses Profil wünschen, aus der Spalte „verfügbar“ aus, und verschieben Sie sie in die Spalte „ausgewählt“.
      Bestellung Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn mindestens zwei Profile Auslösebedingungen teilen.

      Der Flow mit der niedrigsten Zahl hat die höchste Priorität.

      Geben Sie einen Wert ein, um die Reihenfolge des Vorgangs festzulegen. Beispiel: 100, 200, 300, 400.
      Aktiv Dies gibt an, dass das Profil aktiv ist. Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
      Die folgende Abbildung ist ein Beispiel für ein ausgefülltes Formular für Profildetails mit der Fähigkeit „Hostdetails abrufen“.
    4. Klicken Weiter Um mit der Profilkonfiguration fortzufahren.
      Fähigkeitsprofil
      Hinweis:
      Die Funktionen „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ können nicht mit anderen Fähigkeiten kombiniert werden.

    Nächste Maßnahme

    Der nächste Schritt besteht darin, Ihr Profil zu konfigurieren. Bevor Sie die Einstellungen für das Profil konfigurieren, sollten Sie die Konzepte für die Konfiguration von Profilen und Auslösebedingungen überprüfen. Weitere Informationen finden Sie unter Verstehen, wie Auslöserbedingungen mit einem Konfigurationselement für ein Profil funktionieren.