Ações adicionais do FireEye no endpoint
A integração do FireEye oferece suporte à execução de ações adicionais além das ações padrão ouro.
- Script de detalhes investigativos abrangentes
- Script de detalhes investigativos padrão
Além disso, a aquisição de triagem também é compatível pronta para uso. Todos esses três são criados por padrão junto com a origem. Os clientes também podem criar suas próprias ações, ou seja, aquisições de dados do módulo de ações adicionais do FireEye.[1] O tamanho máximo de arquivo compatível com as ações adicionais do FireEye é 1024, e esse valor pode ser configurado alterando E o tempo limite padrão é de 120 minutos que pode ser configurado na página de configuração padrão do FireEye.
Script de detalhes investigativos abrangentes
Permite a coleta de todos os artefatos forenses e investigativos do endpoint, mas é a opção mais proibitivamente cara. Esta configuração é ideal para situações em que haverá apenas uma janela para coletar dados do endpoint em questão, e a capacidade de adquirir mais dados não pode ser garantida posteriormente. Portanto, use esta ação com cuidado.
Script de detalhes investigativos padrão
Habilita as opções mais comuns para coletar artefatos forenses e investigativos de um endpoint. Destinado a ser a ferramenta de resposta primária quando você suspeita de que um endpoint pode estar comprometido e precisa executar uma análise detalhada desse endpoint. O objetivo é encontrar um equilíbrio entre a recolha dos dados mais relevantes e valiosos, evitando as opções dispendiosas que podem ser recolhidas mais tarde, uma vez que uma investigação adicional as prove.
Aquisição de triagem
As coleções de triagem contêm informações do cache de lookback, bem como informações adicionais de auditoria forense, como histórico de download de URL, histórico de download de arquivos, listagens de processos e portas e informações padrão do sistema. Examinar essas informações quando um tráfego de rede anômalo é detectado e você deseja mais visibilidade das ações de endpoint.
Manutenção de scripts de aquisição de dados no FireEye
As solicitações de aquisição de dados (às vezes chamadas de solicitações de resposta em tempo real) permitem que você adquira todos os dados necessários de um único endpoint em execução. Usando a página Scripts de aquisição de dados no FireEye, você pode criar, editar, copiar e excluir os scripts de aquisição de dados usados para solicitações de aquisição de dados.
Acessar a página Scripts de aquisição de dados no FireEye
- Navegue até Endpoint Security Interface do usuário da web.
- Selecione Scripts de aquisição de dados no menu Administrador.
Criando um script no FireEye
- Selecionar Menu da interface do usuário da web do Endpoint Security.
- Clique .
- Insira um nome para o novo script em campo.
- Opcionalmente, insira uma descrição do script.
- Selecione o sistema operacional ao qual o script se aplica. Você só pode selecionar um único sistema operacional na caixa de diálogo Criar script.
- Clique para iniciar a definição do script.
- Selecione um tipo de dados de aquisição no e clique em . As opções para o tipo de aquisição solicitado aparecem à direita da lista de scripts.
- Forneça valores para as opções de tipo de aquisição ou use os valores padrão que já estão selecionados. A IU da Web não avisa você ou remove guias, espaços ou caracteres indesejados (como) em suas especificações.
- Repita as 2 etapas anteriores para solicitar dados adicionais para o script de aquisição de dados. Alguns tipos de dados de aquisição estão disponíveis apenas uma vez para um script, enquanto outros podem ser especificados mais de uma vez. Depois de adicionar um tipo de aquisição a um script, a lista de tipos de aquisição estará disponível em a caixa suspensa se ajusta adequadamente.
- Para remover um tipo de dados de aquisição do script, clique no ícone x ( ) na guia aquisição no lado esquerdo da página.
Exportando um script do FireEye
- Selecionar Da interface do usuário da web do Endpoint Security.
- Selecione Scripts de aquisição de dados no menu Administrador.
- Selecione o script que você deseja exportar no lado esquerdo da página.
- selecionar .
- Um arquivo JSON é baixado para o seu computador. O nome do arquivo JSON inclui o sistema operacional para que você possa determinar facilmente quais scripts são para qual sistema operacional.
Criação de uma nova ação de aquisição de dados no ServiceNow AI Platform
- Navegar até . A lista Ações adicionais do FireEye é exibida.
- Clique . O formulário da nova ação é exibido.
- Preencha o formulário.
Nome da Ação Nome da ação FireEye que é executada. Este nome ajuda a identificar o tipo de ação e descrevê-lo. Aquisição Uma aquisição obtém os dados para analisar. Este é um campo somente leitura e é padronizado como Aquisição de dados. Origem Nome da origem do FireEye. Somente fontes configuradas estão disponíveis na lista de seleção. Capacidade Este é um campo somente leitura e é preenchido com a capacidade Executar ação(ões) adicional(is) Tipo de aquisição Tipo de ação de aquisição que precisa ser obtida e analisada. Ativo Indica que a Ação está ativa. Requer Aprovação Quando você habilita a opção Exigir aprovação, o campo Aprovadores fica disponível no formulário. Depois de enviar uma solicitação, a aprovação é necessária do grupo para concluir a solicitação.
Marcador de exibição Tipo de sistema operacional, como Windows, Mac, Linux, para adicionar scripts. Nota:Atualmente, há suporte para apenas um tipo de SO. Você pode criar uma ação por sistema operacional. Para outros sistemas operacionais, crie novas ações conforme necessário.Scripts O script importado do FireEye precisa ser fornecido para o Tipo de SO selecionado. Somente um script pode ser adicionado a cada tipo de SO. - Clique .