Actions supplémentaires FireEye sur le point de terminaison

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • L’intégration FireEye prend en charge l’exécution d’actions supplémentaires au-delà des actions de référence.

    Ces actions comprennent l’acquisition de triage et l’acquisition de données. Prêts à l’emploi, deux acquisitions de données sont prises en charge :
    • Script détaillé de l’enquête complète
    • Script standard des détails de l’enquête

    De plus, l’acquisition de triage est également prise en charge dès le départ. Ces trois éléments sont créés par défaut en même temps que la source. Les clients peuvent également créer leurs propres actions, c’est-à-dire des acquisitions de données à partir du module d’actions supplémentaires FireEye. [1] La taille de fichier maximale prise en charge pour les actions supplémentaires FireEye est de 1 024, et cette valeur peut être configurée en modifiant com.glide.attachment.max_tailleet le délai d’expiration par défaut est de 120 minutes et peut être configuré à partir de la page Paramètres par défaut FireEye.

    Script détaillé de l’enquête complète

    Permet de collecter tous les artefacts d’investigation et d’investigation à partir du point de terminaison, mais c’est l’option la plus coûteuse. Cette configuration est idéale pour les situations où il n’y aura qu’une seule fenêtre pour collecter des données à partir du point de terminaison en question et où la possibilité d’acquérir plus de données ne peut pas être garantie ultérieurement. Utilisez donc cette action avec prudence.

    Script standard des détails de l’enquête

    Active les options les plus courantes de collecte d’artefacts d’investigation et d’expertise à partir d’un point de terminaison. Destiné à être l’outil de réponse principal lorsque vous soupçonnez qu’un point de terminaison peut être compromis et que vous devez effectuer une analyse approfondie de ce point de terminaison. Vise à trouver un équilibre entre la collecte des données les plus pertinentes et les plus précieuses tout en évitant les options coûteuses qui peuvent être collectées plus tard une fois qu’une enquête plus approfondie s’avère nécessaire.

    Acquisition du triage

    Les collections de triage contiennent des informations provenant du cache de vérification ainsi que des informations d’audit judiciaire supplémentaires, telles que l’historique des téléchargements d’URL, l’historique des téléchargements de fichiers, les listes de processus et de ports et les informations système standard. Vous souhaiterez peut-être examiner ces informations lorsqu’un trafic réseau anormal est détecté et vous souhaitez plus de visibilité sur les actions des points de terminaison.

    Gestion des scripts d’acquisition de données sur FireEye

    Les demandes d’acquisition de données (parfois appelées demandes de réponse en direct) vous permettent d’acquérir toutes les données dont vous avez besoin à partir d’un seul point de terminaison en cours d’exécution. À l’aide de la page Scripts d’acquisition de données de FireEye, vous pouvez créer, modifier, copier et supprimer les scripts d’acquisition de données utilisés pour les demandes d’acquisition de données.

    Accéder à la page Scripts d’acquisition de données sur FireEye

    Pour accéder à la page Scripts d’acquisition de données :
    1. Accédez à l’interface utilisateur Web Endpoint Security.
    2. Sélectionnez Scripts d’acquisition de données dans le menu Administrateur.

    Création d’un script sur FireEye

    Pour créer un script d’acquisition de données :
    1. Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web d’Endpoint Security.
    2. Cliquer sur Créer un script.
    3. Entrez un nom pour le nouveau script dans le champ Nom du script champ.
    4. Vous pouvez également entrer une description du script.
    5. Sélectionnez le système d’exploitation auquel le script s’applique. Vous ne pouvez sélectionner qu’un seul système d’exploitation dans la boîte de dialogue Créer un script.
    6. Cliquer sur Créer pour démarrer la définition de script.
    7. Sélectionner un type de données d’acquisition dans le Ajouter un type d’acquisitiondans la liste déroulante et cliquez sur Ajouter. Les options pour le type d’acquisition que vous avez demandé apparaissent à droite de la liste de scripts.
    8. Fournissez des valeurs pour les options de type d’acquisition ou utilisez les valeurs par défaut déjà sélectionnées. L’interface utilisateur Web ne vous avertit pas et ne supprime pas les onglets, les espaces ou les caractères indésirables (tels que \n) dans vos spécifications.
    9. Répétez les 2 étapes précédentes pour demander des données supplémentaires pour le script d’acquisition de données. Certains types de données d’acquisition ne sont disponibles qu’une seule fois pour un script, tandis que d’autres peuvent être spécifiés plus d’une fois. Après l’ajout d’un type d’acquisition à un script, la liste des types d’acquisition disponibles dans le Ajouter un type d’acquisitionLa liste déroulante s’ajuste en conséquence.
    10. Pour supprimer un type de données d’acquisition du script, cliquez sur l’icône x ( ) dans l’onglet d’acquisition sur le côté gauche de la page.
    Remarque :
    Cette intégration ne prend pas en charge Autoriser les modifications avant l’acquisition lors de la création de scripts. Assurez-vous donc que la case n’est pas cochée.

    Exportation d’un script à partir de FireEye

    Vous pouvez exporter un script d’acquisition de données vers un fichier JSON. Pour exporter un script d’acquisition de données :
    1. Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web Endpoint Security.
    2. Sélectionnez Scripts d’acquisition de données dans le menu Administrateur.
    3. Sélectionnez le script que vous souhaitez exporter sur le côté gauche de la page.
    4. sélectionner Actions > Exporter le script.
    5. Un fichier JSON est téléchargé sur votre ordinateur. Le nom du fichier JSON inclut le système d’exploitation, ce qui vous permet de déterminer facilement quels scripts sont destinés à quel système d’exploitation.

    Création d’une nouvelle action d’acquisition de données dans Now Platform

    Pour créer une action, procédez comme suit :
    1. Accédez à la Intégration de FireEye > Actions supplémentaires FireEye. La liste des actions supplémentaires FireEye s’affiche.
    2. Cliquer sur Nouveau. Le formulaire de la nouvelle action s’affiche.
    3. Remplissez le formulaire.
      Nom de l'action Nom de l’action FireEye exécutée. Ce nom vous aide à identifier le type d’action et à le décrire.
      Achat Une acquisition permet d’obtenir les données à analyser. Il s’agit d’un champ en lecture seule, dont la valeur par défaut est Acquisition de données.
      Source Nom de la source FireEye. Seules les sources configurées sont disponibles dans la liste de choix.
      Option Il s’agit d’un champ en lecture seule, renseigné avec l’option Exécuter une ou plusieurs actions supplémentaires
      Type d'acquisition Type d’action d’acquisition qui doit être obtenue et analysée.
      Actif Cela indique que l’action est active.
      Exiger l'approbation

      Lorsque vous activez l’option Exiger l’approbation, le champ Approbateurs est disponible sur le formulaire. Après avoir soumis une demande, le groupe doit obtenir l’approbation du groupe.
      Balise d'affichage Type de système d’exploitation tel que Windows, Mac, Linux pour l’ajout de scripts.
      Remarque :
      Un seul type de système d’exploitation est actuellement pris en charge. Vous ne pouvez créer qu’une seule action par système d’exploitation. Pour les autres systèmes d’exploitation, créez de nouvelles actions selon les besoins.
      Scripts Le script importé de FireEye doit être fourni pour le type de système d’exploitation sélectionné. Un seul script peut être ajouté à chaque type de système d’exploitation.
    4. Cliquer sur Soumettre.

    Déclenchement des acquisitions de données à partir d’un incident de sécurité

    Les actions supplémentaires créées peuvent être exécutées via le lien connexe appelé Exécuter une ou plusieurs actions supplémentaires sur le point de terminaison sur l’incident de sécurité.
    Remarque :
    Autoriser les modifications avant l’acquisition La fonctionnalité FireEye n’est pas prise en charge pour les actions supplémentaires sur le point de terminaison.