Erstellen Sie ein neues Fähigkeitsprofil für die FireEye-Endpunktintegration

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die Fähigkeiten FireEye HX aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: NowPlatform Security Incident-Administrator (sn_si.admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um Fähigkeiten zusammenzufassen, und helfen Analysten, die Untersuchung/Korrektur einfach durchzuführen.

    Im Folgenden finden Sie die Liste der Fähigkeiten, die Sie den Profilen hinzufügen können:
    1. Hostdetails abrufen
    2. Angemeldete Anwender abrufen
    3. Netzwerkstatistiken abrufen
    4. Laufende Prozesse abrufen
    5. Laufende Services abrufen
    6. Datei abrufen
    7. Host isolieren
    8. Isolation entfernen

    Sie können die Funktionen „Datei abrufen“, „Host isolieren“ und „Hostisolierung entfernen“ nicht mit anderen Funktionen verbinden, während Sie ein Profil erstellen. Profile für diese müssen einzeln erstellt werden. Auf der anderen Seite können „Systemdetails abrufen“, „Angemeldete Benutzer abrufen“, „Netzwerkstatistiken abrufen“, „Laufende Prozesse abrufen“ und „Laufende Services abrufen“ zusammengefasst werden. Sie können Profile einzeln erstellen oder sie je nach Bedarf vollständig oder in Teilen zusammenfassen. Sobald eine Fähigkeit in einem Profil enthalten ist, kann sie nicht in ein anderes Profil aufgenommen werden.

    Führen Sie die folgenden Schritte aus, um ein neues Fähigkeitsprofil zu erstellen:

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofile.
      Die Liste der Fähigkeitsprofile wird angezeigt.
    2. Klicken Neu.
    3. Füllen Sie die Felder im Formular aus.
      Name Name für das Fähigkeitsprofil FireEye HX. Anhand dieses Namens können Sie den Profiltyp identifizieren und beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name der Quelle FireEye HX. Nur konfigurierte Quellen sind in der Auswahlliste verfügbar.
      FireEye HX-Fähigkeiten Fähigkeiten des Profils FireEye HX. Wählen Sie die gewünschten Fähigkeiten für dieses Profil aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.
      Reihenfolge Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge des Vorgangs festzulegen, geben Sie einen Wert ein. Zum Beispiel 100, 200, 300, 400.
      Aktiv Dies zeigt an, dass das Profil aktiv ist. Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den Filterbedingungen entspricht, die Sie in der Konfiguration angegeben haben.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für Profildetails mit der Fähigkeit „Hostdetails abrufen“.
    4. Klicken Weiter , um mit Profilkonfiguration fortzufahren.
      Fähigkeitsprofil
      Hinweis:
      Die Fähigkeiten „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ können nicht mit anderen Fähigkeiten verknüpft werden.

    Nächste Maßnahme

    Der nächste Schritt besteht in der Konfiguration Ihres Profils. Bevor Sie die Einstellungen für das Profil konfigurieren, sollten Sie sich die Konzepte zum Konfigurieren von Profilen und Auslösebedingungen ansehen. Weitere Informationen finden Sie unter Funktionsweise von Auslöserbedingungen mit einem Konfigurationselement für ein Profil.