Crie um novo perfil de capacidade para a integração do Endpoint FireEye

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Crie um perfil e selecione FireEye HXcapacidades que você deseja que o perfil execute.

    Antes de Iniciar

    Função necessária: Administrador de incidentes de segurança da NowPlatform (sn_si.admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Os perfis são criados para agrupar as capacidades e ajudariam os analistas a executar a investigação/correção facilmente.

    A seguir está a lista de capacidades que você pode adicionar ao(s) perfil(s):
    1. Obter detalhes do host
    2. Obter usuários conectados
    3. Obter Estatísticas de Rede
    4. Obter Processos em Execução
    5. Obter serviços em execução
    6. Obter arquivo
    7. Isolar Host
    8. Remover isolamento

    Você não pode associar as capacidades Obter arquivo, isolar host e Remover isolamento de host com outras capacidades ao criar um perfil. Os perfis para eles precisam ser criados individualmente. Por outro lado, Obter detalhes do sistema, Obter usuários conectados, Obter estatísticas de rede, Obter processos em execução e Obter serviços em execução podem ser agrupados. Você pode criar perfis individualmente ou clubbing-los na íntegra ou em partes conforme sua necessidade. Quando uma capacidade é incluída em um perfil, ela não pode ser incluída em outro perfil.

    Para criar um novo perfil de capacidade, siga estas etapas:

    Procedimento

    1. Navegar até Integração do FireEye > Perfis de capacidade do FireEye.
      A lista de perfis de capacidade é exibida.
    2. Clicar Novo.
    3. No formulário, preencha os campos.
      Nome Nome do FireEye HXperfil de capacidade. Este nome ajuda você a identificar o tipo de perfil e descrevê-lo.
      Descrição Informações adicionais sobre o perfil que descreve melhor o perfil.
      Origem Nome do FireEye HXorigem. Somente origens configuradas estão disponíveis na lista de seleção.
      Capacidades do FireEye HX. Capacidades do FireEye HXperfil. Selecione as capacidades desejadas para este perfil na coluna Disponível e mova-as para a coluna Selecionado.
      Ordem Prioridade de fluxo. O padrão é 100. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de acionamento.

      O fluxo com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.
      Ativo Isso indica que o perfil está ativo. Quando o perfil está ativo, ele é acionado automaticamente quando um incidente de segurança é criado que corresponde às condições de filtragem especificadas na configuração.
      A figura a seguir é um exemplo de um formulário preenchido para detalhes do perfil com a capacidade Obter detalhes do host.
    4. Clicar Avançar Para continuar para a Configuração do perfil.
      Perfil de capacidade
      Nota:
      As capacidades Isolar host, Remover isolamento de host e Obter arquivo não podem ser associadas a outras capacidades.

    O que Fazer Depois

    O próximo passo é configurar seu perfil. Antes de definir as configurações do perfil, você pode preferir revisar os conceitos para configurar perfis e acionar condições. Para obter mais informações, consulte Entender como as condições do gatilho funcionam com um item de configuração de um perfil.