FireEye 파일 가져오기 기능

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 파일 획득 요청은 Endpoint Security Agent에 호스트 엔드포인트에서 파일을 가져오도록 지시합니다. 파일 획득은 잠재적 또는 확인된 손상에 대한 정적 또는 동적 분석과 내부자 위협 조사 중 증거 보존에 사용됩니다. 파일 가져오기 기능은 별도의 프로필로 만들어야 합니다.

    시작하기 전에

    필요한 역할: admin

    를 사용하여 파일 프로파일 가져오기 트리거 및 역량 프로파일 생성 FireEye HX 파일 가져오기 기능.

    프로시저

    1. 다음으로 이동 보안 인시던트 > 모든 인시던트 표시레이블이 표시됩니다.
    2. 검토하려는 보안 인시던트를 선택합니다.
    3. 먼저 EDR 프로파일 실행관련 링크 섹션에서.
    4. 사용 가능한 프로필 목록에서 파일 프로필 가져오기를 찾아 선택합니다.
    5. 다음을 제공합니다. 파일 이름파일 경로레이블이 표시됩니다.
      주:
      가져올 파일의 이름을 입력합니다. 정확한 경로 이름 또는 다른 적절한 경로 기반 Windows 환경 변수를 지정합니다. 드라이브 문자 또는 경로 이름을 지정해야 합니다. 다른 끝점에는 다른 드라이브 매핑이 있을 수 있습니다. 폴더 이름을 명시적으로 지정하는 경우 백슬래시로 경로를 끝낼 수 있습니다. 그러나 마지막 백슬래시는 필수가 아닙니다.
    6. 먼저 제출레이블이 표시됩니다.
    7. 작업 메모 및 활동 섹션을 검토합니다.
    8. 태그를 보고 다음에서 결과를 확인합니다. 파일 가져오기 관련 목록.
      주:
      이제 파일 가져오기 프로필이 수동으로 트리거됩니다.

      다운로드한 파일 획득을 검토하려면:

      • 파일 취득 .zip 파일을 엽니다.
      • 파일을 여는 데 필요한 암호를 입력합니다. 비밀번호는 콘솔의 FireEye HX 다운로드 링크 위에 마우스를 올리면 확인할 수 있습니다. 암호를 보려면 아래 단계를 따르십시오.
        • FireEye HX 콘솔에 로그인합니다.
        • 다음으로 이동 취득 을 클릭하고 취득 유형 – 파일별로 필터링합니다.
        • 원하는 기록을 선택합니다.
          주:
          오른쪽 탭에서 획득한 파일의 세부 정보를 볼 수 있습니다.
        • 위에 마우스를 갖다 대면 다운로드 암호를 가져올 수 있는 상단의 링크를 사용할 수 있습니다.
        • 텍스트 또는 XML 편집기를 사용하여 .zip 파일 내의 파일을 열고 검토합니다.
          주:
          • 검색된 파일은 보안 인시던트에 대한 증거로 추적할 수 있도록 수동으로 옵저버블로 추가하는 것이 좋습니다. 이렇게 하면 나중에 암호를 잊어버리거나 변경했을 때 파일을 보는 데도 도움이 됩니다.
          • 파일 가져오기 작업에 지원되는 최대 파일 크기는 1024MB이며 이 값은 다음을 변경하여 구성할 수 있습니다. com.glide.attachment.max_크기기본 시간 제한은 기본 설정 페이지에서 구성할 FireEye HX 수 있는 60분입니다.
          • 파일 가져오기는 구성 항목 관련 목록에서 트리거할 수도 있습니다.