FireEye のエンドポイントでの追加アクション
FireEye 統合は、ゴールドスタンダードのアクション以外に追加アクションの実行をサポートしています。
- 包括的調査の詳細スクリプト (Comprehensive Investigative Details Script)
- 標準調査の詳細スクリプト (Standard Investigative Details Script)
さらに、トリアージ取得も初期設定でサポートされています。これら 3 つはすべて、デフォルトでソースとともに作成されます。顧客は、独自のアクション、つまり FireEye 追加アクションモジュールからのデータ取得を作成することもできます。[1] FireEye 追加アクションでサポートされる最大ファイルサイズは 1024 で、この値は以下を変更することで構成できます 、デフォルトのタイムアウトは 120 分で、FireEye の [デフォルト設定] ページから構成できます。
包括的調査の詳細スクリプト (Comprehensive Investigative Details Script)
エンドポイントからすべてのフォレンジックアーティファクトおよび調査アーティファクトを収集できるようにしますが、これは非常にコストがかかるオプションです。この構成は、問題のエンドポイントからデータを収集するためのウィンドウが 1 つしかなく、後でより多くのデータを取得できることが保証されていない状況に最適です。したがって、このアクションは注意して使用してください。
標準調査の詳細スクリプト (Standard Investigative Details Script)
エンドポイントからフォレンジックアーティファクトおよび調査アーティファクトを収集するための最も一般的なオプションを有効にします。エンドポイントが侵害されている可能性があり、そのエンドポイントの詳細分析を実行する必要がある場合のプライマリ応答ツールとして使用されます。最も関連性が高く価値のあるデータを収集することと、さらに調査して必要なことが判明した場合は後で収集する可能性があるというコストのかかるオプションを回避することとのバランスを取ることを目的としています。
トリアージ取得
トリアージ収集には、ルックバックキャッシュ内の情報と、URL ダウンロード履歴、ファイルダウンロード履歴、プロセスとポートのリスト、標準システム情報などの追加のフォレンジック監査情報が含まれています。異常なネットワークトラフィックが検出され、エンドポイントアクションの可視化を高める必要がある場合に、このような情報を調べる場合があります。
FireEye でのデータ取得スクリプトの管理
データ取得要求 (ライブ応答要求とも呼ばれます) を使用すると、実行中の単一エンドポイントから必要なデータを取得できます。FireEye の [データ取得スクリプト (Data Acquisition Scripts )] ページを使用すると、データ取得要求に使用するデータ取得スクリプトを作成、編集、コピー、削除できます。
FireEye の [データ取得スクリプト (Data Acquisition Scripts)] ページへのアクセス
- [エンドポイントセキュリティ] Web ユーザーインターフェイスに移動します。
- [管理] メニューの [データ取得スクリプト (Data Acquisition Scripts)] を選択します。
FireEye でのスクリプトの作成
- 選択 [エンドポイントセキュリティ] Web ユーザーインターフェイスのメニュー。
- Click .
- 新しいスクリプトの名前を次に入力します フィールドに入力または変更します。
- 必要に応じて、スクリプトの説明を入力します。
- スクリプトを適用するオペレーティングシステムを選択します。[スクリプトを作成 (Create Script)] ダイアログで選択できるオペレーティングシステムは 1 つだけです。
- Click スクリプト定義を開始します。
- で取得データタイプを選択 ドロップダウンボックスをクリックし、 . 要求した取得タイプのオプションがスクリプトリストの右側に表示されます。
- 取得タイプオプションの値を指定するか、既に選択されているデフォルト値を使用します。Web UI は、指定内のタブ、スペース、または不要な文字 (\n など) を警告したり削除したりしません。
- 前の 2 つのステップを繰り返して、データ取得スクリプトの追加データを要求します。取得データタイプには、スクリプトで 1 回のみ使用できるものもあれば、複数回指定できるものもあります。取得タイプをスクリプトに追加した後、利用可能な取得タイプのリスト ドロップダウンボックスが適切に調整されます。
- スクリプトから取得データタイプを削除するには、ページの左側にある [取得] タブで [x] アイコン ( ) をクリックします。
FireEye からのスクリプトのエクスポート
- 選択 エンドポイントセキュリティ Web ユーザーインターフェイスの
- [管理] メニューの [データ取得スクリプト (Data Acquisition Scripts)] を選択します。
- ページの左側で、エクスポートするスクリプトを選択します。
- select .
- JSON ファイルがコンピューターにダウンロードされます。JSON ファイル名にはオペレーティングシステムが含まれているため、どのスクリプトがどのオペレーティングシステム用かを簡単に判断できます。
ServiceNow AI Platformで新しいデータ取得アクションを作成する
- 移動先 . [FireEye の他のアクション] リストが表示されます。
- Click . 新しいアクションのフォームが表示されます。
- フォームに記入します。
アクション名 実行される FireEye アクションの名前。この名前は、アクションタイプを識別して説明するのに役立ちます。 取得 取得では、分析するデータを取得します。これは読み取り専用フィールドで、デフォルトは [データ取得] です。 ソース FireEye ソースの名前。選択リストからは、設定されたソースのみを使用できます。 機能 これは読み取り専用フィールドであり、[他のアクションを実行] 機能が設定されています。 取得タイプ 取得して分析する必要がある取得アクションのタイプ。 アクティブ これは、アクションがアクティブであることを示します。 承認が必要 [承認が必要] オプションを有効にすると、フォームで [承認者] フィールドが使用可能になります。要求が送信された後、要求を完了するにはグループからの承認が必要です。
タグを表示 スクリプトを追加するための Windows、Mac、Linux などのオペレーティングシステムのタイプ。 注:1 つのタイプの OS のみが現在サポートされています。オペレーティングシステムごとに 1 つのアクションを作成できます。他のオペレーティングシステムの場合は、必要に応じて新しいアクションを作成します。スクリプト 選択した OS タイプに対して、FireEye からインポートされたスクリプトを指定する必要があります。各 OS タイプに追加できるスクリプトは 1 つだけです。 - Click .