Konfigurieren Sie Profile und Security Incidents für die -Integration FireEye HX .

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Nachdem Sie ein Profil erstellt und die FireEye HX -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Einstellungen so, dass das Profil nur unter den definierten Bedingungen aufgerufen werden kann.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Wählen Sie bei Bedarf ein alternatives Eingabefeld für das Feld Configuration Item (CI) aus, und legen Sie Filterbedingungen fest, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.
    Hinweis:
    Sie können zu folgendem Ort navigieren: Profilkonfiguration Seite nur nach Eingabe von Profildetailsan.

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofilean.
    2. Klicken Weiter auf der Profildetails Seite nach Abschluss des Abschnitts Profildetails.
    3. Überprüfen und konfigurieren Sie die folgenden Abschnitte:
      • Incident-Kriterien definieren (Automatisierung): Definieren Sie die Bedingungen für Security Incidents, die automatisch die Fähigkeiten FireEye HX für das Profil auslösen. Wenn Sie nicht auswählen, wählen Sie Definiert Incident-Kriterien können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
        • Auswahlvorgang Definiert Incident-Kriterien Option zum automatischen Auslösen von FireEye HX -Fähigkeiten im Profil.
        • Im Filterbedingungen, wählen Sie das Pflichtfeld aus.
        • Sie können hinzufügen Neues Kriterium und definieren auch die ODER- oder die UND-Bedingung.
          Hinweis:
          „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ können nicht automatisch ausgelöst werden.
      • Zusätzliche Konfiguration: Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um die FireEye HX APIs abzufragen.

        Abschnitt „Zusätzliche Konfiguration“ für FireEye-Fähigkeitenprofil.

      • Tags: Sie können Security Incidents optional mit den Tags FireEye HX Profil initiiert, Profil abgeschlossen und Profil fehlgeschlagen versehen.

        Rufen Sie die Eigenschaft Tag anzeigen Aktivieren Sie das Kontrollkästchen, um das Tagging von Security Incidents zu aktivieren. Bei Aktivierung des Tags wird der Profilname vorangestellt. Standardmäßig ist diese Option für alle Profile deaktiviert.

        Tags für Security Incidents aktivieren

      • Genehmigungen: Wählen Sie aus Genehmigung erforderlich Kontrollkästchen, um eine zusätzliche Kontrollebene bereitzustellen, wenn die Fähigkeiten FireEye HX zum Isolieren von Hostcomputern, Wiederherstellen im Netzwerk und Abrufen der Dateien verwendet werden.

        Die Option „Genehmigungen“ in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ angezeigt.

        Parameter im Abschnitt „Genehmigung“ einrichten.

    4. Klicken Sie auf Erledigt.
    5. Überprüfen Sie die Auslöserbedingungen FireEye HX.