엔드포인트에 대한 FireEye 추가 작업

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • FireEye 통합은 골드 표준 작업 이외의 추가 작업 실행을 지원합니다.

    이러한 작업은 환자 분류 획득 및 데이터 수집으로 구성됩니다. 기본적으로 두 가지 데이터 수집이 지원됩니다.
    • 포괄적인 조사 상세 정보 스크립트
    • 표준 조사 상세 정보 스크립트

    또한 환자 분류 획득도 기본적으로 지원됩니다. 이 세 가지는 모두 기본적으로 소스와 함께 생성됩니다. 고객은 FireEye 추가 작업 모듈에서 데이터 수집과 같은 자체 작업을 생성할 수도 있습니다. [1] FireEye 추가 작업에 지원되는 최대 파일 크기는 1024이며, 이 값은 com.glide.attachment.max_size, 기본 시간 제한은 120분이며 FireEye 기본 설정 페이지에서 구성할 수 있습니다.

    포괄적인 조사 상세 정보 스크립트

    엔드포인트에서 모든 포렌식 및 조사 아티팩트를 수집할 수 있지만 가장 비용이 많이 드는 옵션입니다. 이 구성은 해당 엔드포인트에서 데이터를 수집하기 위한 창이 하나만 있고 나중에 더 많은 데이터를 얻을 수 있는 기능을 보장할 수 없는 상황에 이상적입니다. 따라서 이 작업은 주의해서 사용하십시오.

    표준 조사 상세 정보 스크립트

    엔드포인트에서 포렌식 및 조사 아티팩트를 수집하기 위한 가장 일반적인 옵션을 활성화합니다. 엔드포인트가 손상되었을 가능성이 의심되어 해당 엔드포인트에 대한 심층 분석을 수행해야 할 때 기본 응답 도구가 되도록 설계되었습니다. 가장 관련성이 높고 가치 있는 데이터를 수집하는 동시에 추가 조사 결과 필요한 것으로 입증되면 나중에 수집할 수 있는 비용이 많이 드는 옵션을 피하는 것 사이에서 균형을 맞추는 것을 목표로 합니다.

    환자 분류 취득

    분류 컬렉션에는 URL 다운로드 이력, 파일 다운로드 이력, 프로세스 및 포트 목록, 표준 시스템 정보 등의 추가 포렌식 감사 정보뿐만 아니라 조사 확인 캐시 내의 정보가 포함됩니다. 비정상적인 네트워크 트래픽이 탐지되고 엔드포인트 작업에 대한 가시성을 높이려면 이러한 정보를 검사할 수 있습니다.

    FireEye에서 데이터 수집 스크립트 유지 관리

    데이터 수집 요청(라이브 응답 요청이라고도 함)을 사용하면 실행 중인 단일 엔드포인트에서 필요한 모든 데이터를 가져올 수 있습니다. FireEye의 데이터 수집 스크립트 페이지를 사용하여 데이터 수집 요청에 사용되는 데이터 수집 스크립트를 생성, 편집, 복사 및 삭제할 수 있습니다.

    FireEye에서 데이터 수집 스크립트 페이지에 액세스

    데이터 취득 스크립트 페이지에 액세스하려면 다음을 수행합니다.
    1. 엔드포인트 보안 웹 사용자 인터페이스로 이동합니다.
    2. 관리자 메뉴에서 데이터 수집 스크립트를 선택합니다.

    FireEye에서 스크립트 생성

    데이터 취득 스크립트를 만들려면 다음을 수행합니다.
    1. 선택 데이터 취득 스크립트 > 관리자 Endpoint Security 웹 사용자 인터페이스의 메뉴.
    2. Click 스크립트 작성.
    3. 다음에 새 스크립트의 이름을 입력합니다. 스크립트 이름 필드.
    4. 필요한 경우 스크립트에 대한 설명을 입력합니다.
    5. 스크립트가 적용되는 운영 체제를 선택합니다. 스크립트 생성 대화 상자에서 하나의 운영 체제만 선택할 수 있습니다.
    6. Click 작성 스크립트 정의를 시작합니다.
    7. 에서 취득 데이터 유형 선택 취득 유형 추가드롭다운 상자에서 추가. 요청한 취득 유형에 대한 옵션이 스크립트 목록의 오른쪽에 나타납니다.
    8. 취득 유형 옵션에 대한 값을 제공하거나 이미 선택된 기본값을 사용합니다. 웹 UI는 경고를 표시하거나 사양에서 탭, 공백 또는 원치 않는 문자(예: \n)를 제거하지 않습니다.
    9. 이전 2단계를 반복하여 데이터 수집 스크립트에 대한 추가 데이터를 요청합니다. 일부 취득 데이터 유형은 스크립트에 대해 한 번만 사용할 수 있지만 다른 유형은 두 번 이상 지정할 수 있습니다. 취득 유형을 스크립트에 추가한 후 다음에서 사용할 수 있는 취득 유형 목록이 취득 유형 추가드롭다운 상자가 적절하게 조정됩니다.
    10. 스크립트에서 취득 데이터 유형을 제거하려면 페이지 왼쪽의 취득 탭에서 x 아이콘( )을 클릭합니다.
    주:
    이 통합은 다음을 지원하지 않습니다. 취득 전 편집 허용 스크립트를 생성하는 동안의 옵션입니다. 따라서 확인란이 선택되어 있지 않은지 확인하십시오.

    FireEye에서 스크립트 내보내기

    데이터 획득 스크립트를 JSON 파일로 익스포트할 수 있습니다. 데이터 획득 스크립트를 익스포트하려면 다음을 수행합니다.
    1. 선택 데이터 취득 스크립트 > 관리자 Endpoint Security 웹 사용자 인터페이스의
    2. 관리자 메뉴에서 데이터 수집 스크립트를 선택합니다.
    3. 페이지 왼쪽에서 익스포트할 스크립트를 선택합니다.
    4. 선택 작업 > 스크립트 익스포트.
    5. JSON 파일이 컴퓨터에 다운로드됩니다. JSON 파일 이름에는 운영 체제가 포함되어 있으므로 어떤 운영 체제에 대한 스크립트인지 쉽게 확인할 수 있습니다.

    ServiceNow AI Platform에서 새 데이터 취득 동작 생성

    새 작업을 만들려면 다음 단계를 수행합니다.
    1. 다음으로 이동 FireEye 통합 > FireEye 추가 작업. FireEye 추가 작업 목록이 표시됩니다.
    2. Click 신규. 새 작업에 대한 양식이 표시됩니다.
    3. 양식을 작성합니다.
      작업 이름 수행되는 FireEye 작업의 이름입니다. 이 이름은 작업 유형을 식별하고 설명하는 데 도움이 됩니다.
      취득 취득은 분석할 데이터를 얻습니다. 이 필드는 읽기 전용 필드이며, 기본값은 데이터 취득입니다.
      소스 FireEye 소스의 이름입니다. 구성된 소스만 선택 목록에서 사용할 수 있습니다.
      역량 읽기 전용 필드이며 추가 작업 실행 역량으로 채워집니다.
      취득 유형 획득 및 분석해야 하는 획득 작업의 유형입니다.
      활성 이는 작업이 활성 상태임을 나타냅니다.
      승인 필요

      승인 필요 옵션을 활성화하면 양식에서 승인자 필드를 사용할 수 있습니다. 요청을 제출한 후 요청을 완료하려면 그룹의 승인이 필요합니다.
      태그 표시 스크립트를 추가하기 위한 Windows, Mac, Linux와 같은 운영 체제 유형입니다.
      주:
      현재 지원되는 OS는 한 가지 유형만 있습니다. 운영 체제당 하나의 작업을 생성할 수 있습니다. 다른 운영 체제의 경우 필요에 따라 새 작업을 생성합니다.
      스크립트 선택한 OS 유형에 대해 FireEye에서 임포트한 스크립트를 제공해야 합니다. 각 OS 유형에는 하나의 스크립트만 추가할 수 있습니다.
    4. Click 제출.

    보안 인시던트에서 데이터 취득 트리거

    생성된 추가 작업은 호출된 관련 링크를 통해 실행할 수 있습니다. 엔드포인트에서 추가 작업 실행 보안 인시던트에 대해.
    주:
    취득 전 편집 허용 엔드포인트의 추가 작업에는 FireEye 기능이 지원되지 않습니다.