Zeitstempeleinstellungen für Selektierungsakquise konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Konfigurieren und überprüfen Sie die Zeitstempeleinstellungen vor dem Installationsverfahren.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Vor der Installation der FireEye-Anwendung müssen einige Voraussetzungen für FireEye erfüllt sein.

    Die Selektierungsakquise kann durch Eingabe in das Feld „Um Zeitstempel“ oder das Feld „Standard“ angefordert werden. Der Zeitstempel fordert Informationen an, die während eines bestimmten Zeitraums vor dem Zeitstempel bis zu einem bestimmten Zeitraum nach dem Zeitstempel erfasst wurden. Der Zeitstempel gibt die Zeit an, zu der das Event aufgetreten ist, von dem die Warnung generiert wurde. Wenn Sie Standard auswählen, fordert die Endpoint Security-Appliance Informationen vom Host für alle Daten rund um ein Event an.

    Wenn ein Endpoint Security-Benutzer eine Selektierungssammlung basierend auf einem bestimmten Datum und einer bestimmten Uhrzeit anfordert, gibt der Service Desk-Mitarbeiter Informationen für ein bestimmtes Zeitfenster vor und nach der Warnung zurück. Die Zeitstempeleinstellungen steuern die Länge des Fensters für die Selektierungssammlung. Zeitstempeleinstellungen gelten nur für Agent-URL-Ereignisse (URL-Überwachungsereignisse) und Registrierungsschlüssel-Ereignisse (Reg.-Schlüssel-Ereignisse).

    Sie können die Registerkarte Zeitstempeleinstellungen verwenden, um die Zeitspanne vor und nach dem Zeitstempel anzugeben, in der Informationen erfasst werden. Zeitstempeleinstellungen können zwischen 0 und 86.400 Sekunden liegen. Der Standardwert für beide Einstellungen beträgt 600 Sekunden.

    Sie können die Registerkarte Zeitstempeleinstellungen auf der Seite „Einstellungen für automatische Selektierung“ verwenden, um die Zeitspanne vor und nach dem Zeitstempel anzugeben, in der Informationen gesammelt werden. Der Zeitstempel gibt die Zeit an, zu der das Event aufgetreten ist, das die Warnung ausgelöst hat.

    Prozedur

    1. Navigieren zu Endpunktsicherheits-Web-UI.
    2. Auswahlvorgang Administrator > Selektierungseinstellungen.
    3. Klicken Zeitstempeleinstellungen Registerkarte auf der Einstellungen für automatische Selektierung Seite.
    4. Geben Sie die Dauer vor und nach dem Zeitstempel an, für den die Informationen benötigt werden.
    5. Geben Sie die Anzahl der Sekunden vor dem angegebenen Zeitstempel ein, für die die Informationen benötigt werden.
    6. Geben Sie die Anzahl der Sekunden nach dem Zeitstempel ein, für die die Informationen benötigt werden.
    7. Klicken Speichern.
      Hinweis:
      Sie können alle Werte auf der Seite auf die Standardeinstellungen zurücksetzen, indem Sie auf klicken Auf Standardwerte zurücksetzen, und klicken Sie auf Speichern.
      • Beschaffungsbereich: Die Seite „Beschaffungen“ zeigt an, wie viel Speicherplatz für Beschaffungen übrig ist.
      • Festlegen von Datenträger-Auslastungsgrenzen für Beschaffungen:
        • Selektierungen, Dateibeschaffungen und Datenbeschaffungen können sich im Laufe der Zeit ansammeln und immer mehr Speicherplatz verbrauchen. Um dies zu steuern, können Sie ihnen eine bestimmte Menge an Speicherplatz zuweisen. Zehn Prozent des von Ihnen angegebenen Speicherplatzes sind für automatische Selektierungsakquisitionen reserviert. Wenn der insgesamt zugewiesene Erfassungsbereich überschritten wird, werden die ältesten automatischen Selektierungen gelöscht.
        • Wenn die Gesamtdatenträgergröße der abgeschlossenen Erfassungen ein bestimmtes Limit überschreitet, löscht die Endpoint Security-Appliance die ältesten abgeschlossenen Erfassungen, bis genügend Speicherplatz frei ist, um die Gesamtgröße unter das angegebene Limit zu bringen. Akquisitionen, die noch nicht abgeschlossen sind, sind nicht betroffen.
        • Die Endpoint Security-Appliance löscht Erfassungen automatisch, wenn ein Administrator, Analyst oder Ermittler die Endpoint Security-Web-UI verwendet, um den zugeordneten Agent manuell zu löschen.
        So legen Sie Grenzwerte für die Datenträgerauslastung für vollständige Erfassungen mit der Web-UI fest:
      • Navigieren Sie zu Endpunktsicherheit Web-UI.
      • Auswahlvorgang Grenzwerte für Datenträgerauslastung aus dem Administrator -Menü.
      • In der Platzlimit für Beschaffung -Bereich geben Sie die maximale Menge an Speicherplatz (in GB) an, der zum Speichern von Selektierung, Datei und Datenerfassungen verwendet werden kann. Gültige Werte und Standardwerte variieren je nach Modell der Endpoint Security-Appliance. Die für Ihr Modell geeigneten Werte werden auf der Seite „Limits für Datenträgerauslastung“ angezeigt.
      • Klicken Speichern.
      Hinweis:
      Alle genannten Einstellungen werden berücksichtigt. Bei Fehlern gibt Now Platform nur diese Fehler zurück.