Capacidade de obter arquivo do FireEye

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • As solicitações de aquisição de arquivo instruem um Endpoint Security Agent a obter um arquivo do endpoint do host. As aquisições de arquivos são usadas para análise estática ou dinâmica de comprometimentos potenciais ou verificados, bem como para retenção de evidências durante investigações de ameaças internas. A capacidade Obter arquivo deve ser criada como um perfil separado.

    Antes de Iniciar

    Função necessária: administrador

    Acionando Obter perfil de arquivo e criar um perfil de capacidade FireEye HX com Obter arquivo capacidade.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar todos os incidentes.
    2. Selecione o incidente de segurança que você deseja revisar.
    3. Clicar Executar perfis de EDRna seção de links relacionados.
    4. Navegue e selecione Obter perfil de arquivo na lista de perfis disponíveis.
    5. Forneça o Nome do arquivo e Caminho do arquivo.
      Nota:
      Insira o nome do arquivo para o qual você deseja adquirir. Especifique um nome de caminho preciso ou outra variável de ambiente do Windows baseada em caminho apropriada. Você deve especificar a letra da unidade ou os nomes do caminho. Endpoints diferentes podem ter mapeamentos de unidade diferentes. Se você especificar explicitamente um nome de pasta, poderá terminar o caminho com uma barra invertida. No entanto, a barra invertida final não é obrigatória.
    6. Clicar Enviar.
    7. Revise as anotações de trabalho e a seção de atividades.
    8. Exibir os marcadores e verificar os resultados no Obter arquivo lista relacionada.
      Nota:
      O perfil Obter arquivo agora é acionado manualmente.
      Obter lista relacionada a arquivos

      Para revisar uma aquisição de arquivo baixada:

      • Abra o arquivo .zip de aquisição de arquivo.
      • Insira a senha necessária para abrir o arquivo. Para exibir a senha, passe o mouse sobre o link de download no Console FireEye HX. Siga as etapas abaixo para exibir a senha:
        • Faça login no console do FireEye HX.
        • Navegar até Aquisições e filtrar por Tipo de aquisição – Arquivo.
        • Selecione o registro desejado.
          Nota:
          Você poderá ver os detalhes do arquivo adquirido na guia à direita.
        • Passe o mouse sobre Baixar link disponível na parte superior para obter a senha.
        • Abra e revise os arquivos dentro do arquivo .zip usando qualquer editor de texto ou XML.
          Nota:
          • É recomendável que o arquivo recuperado seja adicionado como um observável manualmente, para que possa ser rastreado como uma evidência contra o incidente de segurança. Isso também ajudará a exibir os arquivos no futuro, quando a senha for esquecida ou alterada.
          • O tamanho máximo de arquivo compatível com a ação Obter arquivo é de 1024 MB e este valor pode ser configurado alterando com.glide.attachment.max_size, e o tempo limite padrão é de 60 minutos, que pode ser configurado na página FireEye HX Configurações padrão.
            Obter opções de atualização e exclusão de arquivo. Opções de renomeação e download de anexos.
          • Obter arquivo também pode ser acionado a partir da lista relacionada de itens de configuração.
            Obter opções de atualização e exclusão de arquivo. Opções de renomeação e download de anexos.