Konfigurieren Sie Profile und Security Incidents für die FireEye HX -Integration

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

2 Minuten Lesedauer

Nachdem Sie ein Profil erstellt und die FireEye HX -Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Einstellungen so, dass das Profil nur unter den definierten Bedingungen aufgerufen werden kann.

Vorbereitungen

Erforderliche Rolle: sn_si.admin

Konfigurieren Sie das Profil so, dass es nur ausgeführt wird, wenn die von Ihnen angegebenen Bedingungen erfüllt sind. Wählen Sie bei Bedarf ein alternatives Eingabefeld für das Feld Configuration Item (CI) aus, und legen Sie Filterbedingungen fest, damit das Profil automatisch ausgelöst werden kann, wenn ein Security Incident erstellt wird, der die Auslöserbedingungen erfüllt.

Hinweis:

Sie können zu folgendem Ort navigieren: Profilkonfiguration -Seite erst, nachdem Sie eingegeben haben Profildetails.

Prozedur

Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofile.
Klicken Weiter auf der Profildetails Seite, nachdem Sie den Abschnitt „Profildetails“ abgeschlossen haben.
Überprüfen und konfigurieren Sie die folgenden Abschnitte:
- Incident-Kriterien definieren (Automatisierung): Definieren Sie die Bedingungen für Security Incidents, die automatisch die FireEye HX -Fähigkeiten für das Profil auslösen. Wenn Sie nicht auswählen Definiert Incident-Kriterien Option, dann können das Profil und die zugrunde liegenden Fähigkeiten manuell über den Security Incident aufgerufen werden.
  - Auswahlvorgang Definiert Incident-Kriterien Option zum automatischen Auslösen von FireEye HX -Fähigkeiten im Profil.
  - In der Filterbedingungen, wählen Sie das erforderliche Feld aus.
  - Sie können hinzufügen Neues Kriterium und definieren auch die OR- oder AND-Bedingung.
    Hinweis:
    „Host isolieren“, „Hostisolierung entfernen“, „Datei abrufen“ kann nicht automatisch ausgelöst werden.
- Zusätzliche Konfiguration: Wenn das Feld Configuration Item (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld im Security Incident auswählen, um die FireEye HX APIs abzufragen.
  - Rufen Sie die Eigenschaft Definieren Sie ein alternatives Feld Option zum Definieren eines alternativen Eingabefelds.
  - Wählen Sie das Eingabefeld aus Alternatives CI-Auslöserfeld.
    Hinweis:
    Weitere Informationen finden Sie unter Machen Sie sich mit der Funktionsweise von Auslöserbedingungen für ein Konfigurationselement vertraut.
- Tags: Sie können Security Incidents optional mit den Tags FireEye HX Profil initiiert, Profil abgeschlossen und Profil fehlgeschlagen versehen.
  Rufen Sie die Eigenschaft Tag anzeigen Kontrollkästchen zum Aktivieren der Kennzeichnung von Security Incidents; Profilname wird bei Aktivierung des Tags vorangestellt. Standardmäßig ist diese Option für alle Profile deaktiviert.
- Genehmigungen: Wählen Sie aus Genehmigung erforderlich Kontrollkästchen, um eine zusätzliche Steuerungsebene bereitzustellen, wenn die Fähigkeiten FireEye HX zum Isolieren von Hostcomputern, zur Wiederherstellung im Netzwerk und zum Abrufen der Dateien verwendet werden.
  Die Genehmigungsoption in der Profilkonfiguration wird nur für die Funktionen „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ angezeigt.
Klicken Sie auf Erledigt.
Überprüfen Sie die Auslösebedingungen FireEye HX.