Konfigurieren Sie Profile und Security Incidents für FireEye HX Integration

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Nachdem Sie ein Profil erstellt und ausgewählt haben FireEye HX Fähigkeiten, die das Profil ausführen soll, konfigurieren Sie die Einstellungen so, dass das Profil nur unter den definierten Bedingungen aufgerufen werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Wählen Sie bei Bedarf ein alternatives Eingabefeld für das Feld Configuration Item (CI) aus, und legen Sie Filterbedingungen fest, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.
    Hinweis:
    Sie können zu folgendem Ort navigieren: Profilkonfiguration Seite erst nach Eingabe von Profildetailsan.

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofilean.
    2. Klicken Weiter Auf der Profildetails Seite nach Abschluss des Abschnitts „Profildetails“.
    3. Überprüfen und konfigurieren Sie die folgenden Abschnitte:
      • Incident-Kriterien Definieren (Automatisierung): Definieren Sie die Security Incident-Bedingungen, die automatisch ausgelöst werden FireEye HX Fähigkeiten für das Profil. Wenn Sie nicht auswählen Definiert Incident-Kriterien Option, dann können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
        • Auswahlvorgang Definiert Incident-Kriterien Option zum automatischen Auslösen FireEye HX Fähigkeiten im Profil.
        • In Filterbedingungen, Wählen Sie das erforderliche Feld aus.
        • Sie können hinzufügen Neues Kriterium Und definieren Sie auch die ODER oder die UND-Bedingung.
          Hinweis:
          „Host isolieren“, „Host-Isolierung entfernen“, „Datei abrufen“ kann nicht automatisch ausgelöst werden.
      • Zusätzliche Konfiguration: Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um abzufragen FireEye HX APIs.

        Abschnitt „zusätzliche Konfiguration“ für FireEye-Fähigkeitsprofil.

      • Tags: Sie können Security Incidents optional mit dem taggen FireEye HX Tags „Profil initiiert“, „Profil abgeschlossen“ und „Profil fehlgeschlagen“.

        Rufen Sie die Eigenschaft Tag anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung von Security Incidents. Der Profilname wird beim Aktivieren des Tags vorangestellt. Standardmäßig ist diese Option für alle Profile deaktiviert.

        Tags für Security Incidents werden aktiviert.

      • Genehmigungen: Wählen Sie aus Genehmigung erforderlich Kontrollkästchen, um bei Verwendung von eine zusätzliche Steuerungsstufe bereitzustellen FireEye HX Fähigkeiten zum Isolieren von Hostcomputern, zum Wiederherstellen im Netzwerk und zum Abrufen der Dateien.

        Die Option Genehmigungen in der Profilkonfiguration wird nur für die Funktionen Host isolieren, Host-Isolierung entfernen und Datei abrufen angezeigt.

        Parameter im Abschnitt „Genehmigung“ einrichten.

    4. Klicken Sie auf Erledigt.
    5. Verifizieren FireEye HX Auslöserbedingungen.