FireEye – Dateifunktion abrufen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Dateibeschaffungsanforderungen weisen einen Endpoint Security Agent an, eine Datei von seinem Host-Endpunkt abzurufen. Dateierfassungen werden für die statische oder dynamische Analyse potenzieller oder verifizierter Gefährdungen sowie zur Nachweisaufbewahrung bei internen Bedrohungsuntersuchungen verwendet. Die Funktion „Datei abrufen“ muss als separates Profil erstellt werden.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    „Dateiprofil abrufen“ wird ausgelöst und erstellt FireEye HX Fähigkeitsprofil mit Datei abrufen Fähigkeit.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigenan.
    2. Wählen Sie den Security Incident aus, den Sie überprüfen möchten.
    3. Klicken EDR-Profil(e) ausführenIm Abschnitt „zugehörige Links“.
    4. Durchsuchen Sie die Liste der verfügbaren Profile, und wählen Sie Dateiprofil abrufen aus.
    5. Geben Sie an Dateiname und Dateipfadan.
      Hinweis:
      Geben Sie den Namen der Datei ein, für die Sie abrufen möchten. Geben Sie einen genauen Pfadnamen oder eine andere geeignete pfadbasierte Windows-Umgebungsvariable an. Sie müssen den Laufwerksbuchstaben oder Pfadnamen angeben. Verschiedene Endpunkte können unterschiedliche Laufwerkszuordnungen haben. Wenn Sie explizit einen Ordnernamen angeben, können Sie den Pfad mit einem umgekehrten Schrägstrich beenden. Der endgültige umgekehrte Schrägstrich ist jedoch nicht obligatorisch.
    6. Klicken Absendenan.
    7. Überprüfen Sie den Abschnitt „Arbeitsnotizen und Aktivitäten“.
    8. Zeigen Sie die Tags an, und überprüfen Sie die Ergebnisse in Datei abrufen Zugehörige Liste.
      Hinweis:
      Das Profil „Datei abrufen“ wird jetzt manuell ausgelöst.
      Zugehörige Liste „Datei“ abrufen

      So überprüfen Sie eine heruntergeladene Dateibeschaffung:

      • Öffnen Sie die ZIP-Datei für die Dateibeschaffung.
      • Geben Sie das zum Öffnen der Datei erforderliche Passwort ein. Das Passwort kann angezeigt werden, indem Sie den Mauszeiger über den Download-Link in bewegen FireEye HX Konsole. Führen Sie die folgenden Schritte aus, um das Passwort anzuzeigen:
        • Melden Sie sich bei der FireEye HX-Konsole an.
        • Navigieren zu Akquisitionen Und filtern Sie nach Beschaffungstyp – Datei.
        • Wählen Sie den gewünschten Datensatz aus.
          Hinweis:
          Sie können die Details der erworbenen Datei auf der rechten Registerkarte anzeigen.
        • Bewegen Sie den Mauszeiger über den Herunterladen Link oben verfügbar, um das Passwort zu erhalten.
        • Öffnen und überprüfen Sie die Dateien in der ZIP-Datei mit einem beliebigen Text- oder XML-Editor.
          Hinweis:
          • Es wird empfohlen, die abgerufene Datei manuell als erkennbares Element hinzuzufügen, damit sie als Nachweis für den Security Incident nachverfolgt werden kann. Dies hilft auch, die Dateien in Zukunft anzuzeigen, wenn das Passwort vergessen oder geändert wird.
          • Die maximale Dateigröße, die für die Aktion „Datei abrufen“ unterstützt wird, beträgt 1024 MB, und dieser Wert kann durch Ändern konfiguriert werden com.glide.attachment.max_size, Und die Standardzeitüberschreitung beträgt 60 Minuten, die über konfiguriert werden kann FireEye HX Seite „Standardeinstellungen“.
            Rufen Sie Optionen für Dateiaktualisierung und -Löschen ab. Optionen zum Umbenennen und Herunterladen von Anhängen.
          • „Datei abrufen“ kann auch über die zugehörige Liste des Konfigurationselements ausgelöst werden.
            Rufen Sie Optionen für Dateiaktualisierung und -Löschen ab. Optionen zum Umbenennen und Herunterladen von Anhängen.