Ações adicionais do FireEye no endpoint

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura
  • A integração do FireEye oferece suporte à execução de ações adicionais além das ações padrão ouro.

    Essas ações incluem aquisição de triagem e aquisições de dados. Duas aquisições de dados prontas para uso são compatíveis:
    • Script de detalhes investigativos abrangentes
    • Script de detalhes investigativos padrão

    Além disso, a aquisição de triagem também é compatível pronta para uso. Todos esses três são criados por padrão junto com a origem. Os clientes também podem criar suas próprias ações, ou seja, aquisições de dados do módulo de ações adicionais do FireEye.[1] O tamanho máximo de arquivo compatível com as ações adicionais do FireEye é 1024, e esse valor pode ser configurado alterando com.glide.attachment.max_sizeE o tempo limite padrão é de 120 minutos que pode ser configurado na página de configuração padrão do FireEye.

    Script de detalhes investigativos abrangentes

    Permite a coleta de todos os artefatos forenses e investigativos do endpoint, mas é a opção mais proibitivamente cara. Esta configuração é ideal para situações em que haverá apenas uma janela para coletar dados do endpoint em questão, e a capacidade de adquirir mais dados não pode ser garantida posteriormente. Portanto, use esta ação com cuidado.

    Script de detalhes investigativos padrão

    Habilita as opções mais comuns para coletar artefatos forenses e investigativos de um endpoint. Destinado a ser a ferramenta de resposta primária quando você suspeita de que um endpoint pode estar comprometido e precisa executar uma análise detalhada desse endpoint. O objetivo é encontrar um equilíbrio entre a recolha dos dados mais relevantes e valiosos, evitando as opções dispendiosas que podem ser recolhidas mais tarde, uma vez que uma investigação adicional as prove.

    Aquisição de triagem

    As coleções de triagem contêm informações do cache de lookback, bem como informações adicionais de auditoria forense, como histórico de download de URL, histórico de download de arquivos, listagens de processos e portas e informações padrão do sistema. Examinar essas informações quando um tráfego de rede anômalo é detectado e você deseja mais visibilidade das ações de endpoint.

    Manutenção de scripts de aquisição de dados no FireEye

    As solicitações de aquisição de dados (às vezes chamadas de solicitações de resposta em tempo real) permitem que você adquira todos os dados necessários de um único endpoint em execução. Usando a página Scripts de aquisição de dados no FireEye, você pode criar, editar, copiar e excluir os scripts de aquisição de dados usados para solicitações de aquisição de dados.

    Acessar a página Scripts de aquisição de dados no FireEye

    Para acessar a página Scripts de aquisição de dados:
    1. Navegue até Endpoint Security Interface do usuário da web.
    2. Selecione Scripts de aquisição de dados no menu Administrador.

    Criando um script no FireEye

    Para criar um script de aquisição de dados:
    1. Selecionar Scripts de aquisição de dados > Administrador Menu da interface do usuário da web do Endpoint Security.
    2. Clique Criar script.
    3. Insira um nome para o novo script em Nome do script campo.
    4. Opcionalmente, insira uma descrição do script.
    5. Selecione o sistema operacional ao qual o script se aplica. Você só pode selecionar um único sistema operacional na caixa de diálogo Criar script.
    6. Clique Criar para iniciar a definição do script.
    7. Selecione um tipo de dados de aquisição no Adicione um tipo de aquisiçãoe clique em Adicionar. As opções para o tipo de aquisição solicitado aparecem à direita da lista de scripts.
    8. Forneça valores para as opções de tipo de aquisição ou use os valores padrão que já estão selecionados. A IU da Web não avisa você ou remove guias, espaços ou caracteres indesejados (como) em suas especificações.
    9. Repita as 2 etapas anteriores para solicitar dados adicionais para o script de aquisição de dados. Alguns tipos de dados de aquisição estão disponíveis apenas uma vez para um script, enquanto outros podem ser especificados mais de uma vez. Depois de adicionar um tipo de aquisição a um script, a lista de tipos de aquisição estará disponível em Adicione um tipo de aquisiçãoa caixa suspensa se ajusta adequadamente.
    10. Para remover um tipo de dados de aquisição do script, clique no ícone x ( ) na guia aquisição no lado esquerdo da página.
    Nota:
    Esta integração não é compatível com Permitir edições antes de adquirir ao criar scripts. Portanto, certifique-se de que a caixa de seleção esteja desmarcada.

    Exportando um script do FireEye

    Você pode exportar um script de aquisição de dados para um arquivo JSON. Para exportar um script de aquisição de dados:
    1. Selecionar Scripts de aquisição de dados > Administrador Da interface do usuário da web do Endpoint Security.
    2. Selecione Scripts de aquisição de dados no menu Administrador.
    3. Selecione o script que você deseja exportar no lado esquerdo da página.
    4. selecionar Ações > Script de exportação.
    5. Um arquivo JSON é baixado para o seu computador. O nome do arquivo JSON inclui o sistema operacional para que você possa determinar facilmente quais scripts são para qual sistema operacional.

    Criação de uma nova ação de aquisição de dados no ServiceNow AI Platform

    Para criar uma nova ação, siga estas etapas:
    1. Navegar até Integração do FireEye > Ações adicionais do FireEye. A lista Ações adicionais do FireEye é exibida.
    2. Clique Novo(a). O formulário da nova ação é exibido.
    3. Preencha o formulário.
      Nome da Ação Nome da ação FireEye que é executada. Este nome ajuda a identificar o tipo de ação e descrevê-lo.
      Aquisição Uma aquisição obtém os dados para analisar. Este é um campo somente leitura e é padronizado como Aquisição de dados.
      Origem Nome da origem do FireEye. Somente fontes configuradas estão disponíveis na lista de seleção.
      Capacidade Este é um campo somente leitura e é preenchido com a capacidade Executar ação(ões) adicional(is)
      Tipo de aquisição Tipo de ação de aquisição que precisa ser obtida e analisada.
      Ativo Indica que a Ação está ativa.
      Requer Aprovação

      Quando você habilita a opção Exigir aprovação, o campo Aprovadores fica disponível no formulário. Depois de enviar uma solicitação, a aprovação é necessária do grupo para concluir a solicitação.

      Marcador de exibição Tipo de sistema operacional, como Windows, Mac, Linux, para adicionar scripts.
      Nota:
      Atualmente, há suporte para apenas um tipo de SO. Você pode criar uma ação por sistema operacional. Para outros sistemas operacionais, crie novas ações conforme necessário.
      Scripts O script importado do FireEye precisa ser fornecido para o Tipo de SO selecionado. Somente um script pode ser adicionado a cada tipo de SO.
    4. Clique Enviar.

    Acionar aquisições de dados do incidente de segurança

    As Ações adicionais criadas podem ser executadas por meio do Link relacionado chamado Executar ações adicionais no endpoint no incidente de segurança.
    Nota:
    Permitir edições antes de adquirir A funcionalidade FireEye não é compatível com as Ações adicionais no endpoint.