FireEye – zusätzliche Aktionen für Endpunkt

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Die FireEye-Integration unterstützt die Ausführung zusätzlicher Aktionen, die über die Goldstandardaktionen hinausgehen.

    Diese Aktionen umfassen Selektierungsakquise und Datenakquisitionen. Standardmäßig werden zwei Datenerfassungen unterstützt:
    • Umfassendes Skript Für Untersuchungsdetails
    • Standardskript Für Untersuchungsdetails

    Darüber hinaus wird die Selektierungsakquisition sofort unterstützt. Alle diese drei werden standardmäßig zusammen mit der Quelle erstellt. Die Kunden können auch eigene Aktionen erstellen, d. h. Datenerfassungen aus dem FireEye-Modul „zusätzliche Aktionen“.[1] die maximale Dateigröße, die für zusätzliche FireEye-Aktionen unterstützt wird, beträgt 1024, und dieser Wert kann durch Ändern konfiguriert werden com.glide.attachment.max_size, Und die Standardzeitüberschreitung beträgt 120 Minuten, die über die FireEye-Standardeinstellungsseite konfiguriert werden kann.

    Umfassendes Skript Für Untersuchungsdetails

    Ermöglicht das Sammeln aller forensischen und untersuchenden Artefakte vom Endpunkt, ist jedoch die unerschwinglichste Option. Diese Konfiguration ist ideal für Situationen, in denen es nur ein Fenster zum Sammeln von Daten vom betreffenden Endpunkt gibt und die Möglichkeit, später weitere Daten zu erfassen, nicht garantiert werden kann. Verwenden Sie daher diese Aktion mit Vorsicht.

    Standardskript Für Untersuchungsdetails

    Aktiviert die gängigsten Optionen für die Erfassung forensischer und untersuchender Artefakte von einem Endpunkt. Soll das primäre Antworttool sein, wenn Sie den Verdacht haben, dass ein Endpunkt gefährdet sein könnte und eine eingehende Analyse dieses Endpunkts durchführen müssen. Ziel ist es, ein Gleichgewicht zwischen der Erfassung der relevantesten und wertvollsten Daten zu finden und gleichzeitig die kostspieligen Optionen zu vermeiden, die später erfasst werden können, sobald eine weitere Untersuchung dies als erforderlich erweist.

    Selektierung – Akquisition

    Selektierungssammlungen enthalten Informationen aus dem Lookback-Cache sowie zusätzliche forensische Auditinformationen, z. B. URL-Downloadverlauf, Dateidownloadverlauf, Prozess- und Portlisten sowie Standardsysteminformationen. Möglicherweise möchten Sie diese Informationen überprüfen, wenn anomaler Netzwerkverkehr erkannt wird, und Sie möchten mehr Transparenz in Endpunktaktionen haben.

    Datenerfassungsskripts auf FireEye verwalten

    Datenbeschaffungsanforderungen (manchmal als Live-Antwortanforderungen bezeichnet) ermöglichen es Ihnen, alle benötigten Daten von einem einzigen ausgeführten Endpunkt zu erfassen. Auf der Seite „Datenerfassungsskripts“ in FireEye können Sie die Datenerfassungsskripts erstellen, bearbeiten, kopieren und löschen, die für Datenerfassungsanforderungen verwendet werden.

    Zugriff auf die Seite „Datenerfassungsskripts“ in FireEye

    So greifen Sie auf die Seite „Datenerfassungsskripts“ zu:
    1. Navigieren Sie zu Endpunktsicherheit Web-Anwenderoberfläche.
    2. Wählen Sie im Menü Administrator die Option Datenerfassungsskripts aus.

    Erstellen eines Skripts auf FireEye

    So erstellen Sie ein Datenbeschaffungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator Menü der Webanwenderoberfläche „Endpunktsicherheit“.
    2. Klicken Skript erstellenan.
    3. Geben Sie einen Namen für das neue Skript in ein Skriptname an.
    4. Geben Sie optional eine Beschreibung des Skripts ein.
    5. Wählen Sie das Betriebssystem aus, für das das Skript gilt. Sie können im Dialogfeld „Skript erstellen“ nur ein einzelnes Betriebssystem auswählen.
    6. Klicken Erstellen Um die Skriptdefinition zu starten.
    7. Wählen Sie im einen Beschaffungsdatentyp aus Fügen Sie einen Beschaffungstyp hinzuDropdown-Feld, und klicken Sie auf Hinzufügenan. Optionen für den angeforderten Beschaffungstyp werden rechts neben der Skriptliste angezeigt.
    8. Geben Sie Werte für die Beschaffungstypoptionen an, oder verwenden Sie die bereits ausgewählten Standardwerte. Die Web-UI warnt Sie nicht und entfernt keine Registerkarten, Leerzeichen oder unerwünschten Zeichen (z. B. \n) in Ihren Spezifikationen.
    9. Wiederholen Sie die vorherigen 2 Schritte, um zusätzliche Daten für das Datenbeschaffungsskript anzufordern. Einige Beschaffungsdatentypen sind nur einmal für ein Skript verfügbar, während andere mehrmals angegeben werden können. Nach dem Hinzufügen eines Beschaffungstyps zu einem Skript die Liste der Beschaffungstypen, die in verfügbar sind Fügen Sie einen Beschaffungstyp hinzuDas Dropdown-Feld passt sich entsprechend an.
    10. Um einen Beschaffungsdatentyp aus dem Skript zu entfernen, klicken Sie auf das x-Symbol ( ) auf der Registerkarte „Beschaffung“ auf der linken Seite der Seite.
    Hinweis:
    Diese Integration unterstützt nicht Bearbeitungen vor dem Erwerb zulassen Option beim Erstellen von Skripts. Stellen Sie daher sicher, dass das Kontrollkästchen deaktiviert ist.

    Exportieren eines Skripts aus FireEye

    Sie können ein Datenbeschaffungsskript in eine JSON-Datei exportieren. So exportieren Sie ein Datenbeschaffungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator Der Webanwenderoberfläche „Endpunktsicherheit“.
    2. Wählen Sie im Menü Administrator die Option Datenerfassungsskripts aus.
    3. Wählen Sie auf der linken Seite der Seite das Skript aus, das Sie exportieren möchten.
    4. auswählen Aktionen > Skript Exportierenan.
    5. Eine JSON-Datei wird auf Ihren Computer heruntergeladen. Der JSON-Dateiname enthält das Betriebssystem, sodass Sie einfach bestimmen können, welche Skripts für welches Betriebssystem gelten.

    Erstellen einer neuen Datenerfassungsaktion in ServiceNow AI Platform

    Führen Sie die folgenden Schritte aus, um eine neue Aktion zu erstellen:
    1. Navigieren zu FireEye-Integration > FireEye: zusätzliche Aktionenan. Die Liste zusätzliche FireEye-Aktionen wird angezeigt.
    2. Klicken Neuan. Das Formular für die neue Aktion wird angezeigt.
    3. Füllen Sie das Formular aus.
      Aktionsname Name der ausgeführten FireEye-Aktion. Dieser Name hilft Ihnen, den Aktionstyp zu identifizieren und zu beschreiben.
      Akquisition Eine Beschaffung ruft die zu analysierenden Daten ab. Dies ist ein schreibgeschütztes Feld und standardmäßig auf Datenerfassung festgelegt.
      Quelle Name der FireEye-Quelle. In der Auswahlliste sind nur konfigurierte Quellen verfügbar.
      Fähigkeit Dies ist ein schreibgeschütztes Feld und wird mit der Fähigkeit „zusätzliche Aktion(en) ausführen“ ausgefüllt
      Akquisitionstyp Typ der Beschaffungsaktion, die abgerufen und analysiert werden muss.
      Aktiv Dies gibt an, dass die Aktion aktiv ist.
      Genehmigung erforderlich

      Wenn Sie die Option Genehmigung erforderlich aktivieren, ist das Feld Genehmiger im Formular verfügbar. Nachdem Sie eine Anforderung übermittelt haben, ist die Genehmigung der Gruppe erforderlich, um die Anforderung abzuschließen.
      Tag anzeigen Typ des Betriebssystems, z. B. Windows, Mac, Linux zum Hinzufügen von Skripts.
      Hinweis:
      Derzeit wird nur ein Typ von Betriebssystem unterstützt. Sie können eine Aktion pro Betriebssystem erstellen. Erstellen Sie für andere Betriebssysteme nach Bedarf neue Aktionen.
      Skripte Importiertes Skript aus FireEye muss für den ausgewählten BS-Typ angegeben werden. Jedem BS-Typ kann nur ein Skript hinzugefügt werden.
    4. Klicken Absendenan.

    Datenakquisitionen aus Security Incident werden ausgelöst

    Die zusätzlichen erstellten Aktionen können über den zugehörigen Link ausgeführt werden Zusätzliche Aktion(en) für Endpunkt ausführen Für den Security Incident.
    Hinweis:
    Bearbeitungen vor dem Erwerb zulassen Die FireEye-Funktionalität wird für die zusätzlichen Aktionen auf dem Endpunkt nicht unterstützt.