Zusätzliche FireEye-Aktionen für Endpunkt

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Die FireEye-Integration unterstützt die Ausführung zusätzlicher Aktionen, die über die Goldstandardaktionen hinausgehen.

    Diese Aktionen umfassen Selektierungsakquise und Datenakquisitionen. Standardmäßig werden zwei Datenerfassungen unterstützt:
    • Umfassendes Skript für Untersuchungsdetails
    • Standardskript für Untersuchungsdetails

    Darüber hinaus wird Selektierungsakquise ebenfalls standardmäßig unterstützt. Alle diese drei werden standardmäßig zusammen mit der Quelle erstellt. Kunden können auch eigene Aktionen erstellen, z. B. Datenerfassungen aus dem FireEye-Modul „Zusätzliche Aktionen“.[1] Die maximale Dateigröße, die für zusätzliche FireEye-Aktionen unterstützt wird, beträgt 1024. Dieser Wert kann durch Ändern von konfiguriert werden com.glide.attachment.max_size, und die Standardzeitüberschreitung beträgt 120 Minuten und kann auf der FireEye-Seite „Standardeinstellungen“ konfiguriert werden.

    Umfassendes Skript für Untersuchungsdetails

    Ermöglicht das Sammeln aller forensischen und untersuchenden Artefakte vom Endpunkt, ist jedoch die teuerste Option. Diese Konfiguration ist ideal für Situationen, in denen nur ein Fenster zum Sammeln von Daten vom betreffenden Endpunkt vorhanden ist und die Möglichkeit, weitere Daten zu erfassen, später nicht garantiert werden kann. Verwenden Sie diese Aktion daher mit Vorsicht.

    Standardskript für Untersuchungsdetails

    Aktiviert die gängigsten Optionen zum Sammeln forensischer und untersuchender Artefakte von einem Endpunkt. Ist als primäres Antworttool gedacht, wenn Sie den Verdacht haben, dass ein Endpunkt gefährdet sein könnte, und eine eingehende Analyse dieses Endpunkts durchführen müssen. Ziel ist es, ein Gleichgewicht zwischen der Erfassung der relevantesten und wertvollsten Daten zu erreichen und gleichzeitig die kostspieligen Optionen zu vermeiden, die später erfasst werden können, wenn sich weitere Untersuchungen als erforderlich erweisen.

    Selektierung – Akquisition

    Selektierungssammlungen enthalten Informationen aus dem Lookback-Cache sowie zusätzliche forensische Audit-Informationen, z. B. URL-Downloadverlauf, Dateidownloadverlauf, Prozess- und Portlisten und Standardsysteminformationen. Möglicherweise möchten Sie solche Informationen untersuchen, wenn anomaler Netzwerkdatenverkehr erkannt wird, und Sie möchten mehr Transparenz in Endpunktaktionen.

    Datenerfassungsskripts in FireEye verwalten

    Datenerfassungsanforderungen (manchmal auch als Live-Antwortanforderungen bezeichnet) ermöglichen es Ihnen, alle benötigten Daten von einem einzelnen ausgeführten Endpunkt zu erfassen. Auf der Seite „Datenerfassungsskripts“ in FireEye können Sie die für Datenerfassungsanforderungen verwendeten Datenerfassungsskripts erstellen, bearbeiten, kopieren und löschen.

    Zugriff auf die Seite „Datenerfassungsskripts“ in FireEye

    So greifen Sie auf die Seite „Datenerfassungsskripts“ zu:
    1. Navigieren Sie zu Endpunktsicherheit Webbenutzeroberfläche.
    2. Wählen Sie im Menü „Administrator“ die Option Datenerfassungsskripts aus.

    Erstellen eines Skripts in FireEye

    So erstellen Sie ein Datenerfassungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator -Menü der Endpoint Security-Webbenutzeroberfläche.
    2. Klicken Skript erstellen.
    3. Geben Sie einen Namen für das neue Skript in ein Skriptname an.
    4. Geben Sie optional eine Beschreibung des Skripts ein.
    5. Wählen Sie das Betriebssystem aus, für das das Skript gilt. Sie können im Dialogfeld „Skript erstellen“ nur ein einzelnes Betriebssystem auswählen.
    6. Klicken Erstellen , um die Skriptdefinition zu starten.
    7. Wählen Sie im einen Beschaffungsdatentyp aus Fügen Sie einen Beschaffungstyp hinzuDropdown-Feld und klicken Sie auf Hinzufügen. Optionen für den angeforderten Beschaffungstyp werden rechts neben der Skriptliste angezeigt.
    8. Geben Sie Werte für die Optionen des Beschaffungstyps an, oder verwenden Sie die bereits ausgewählten Standardwerte. Die Web-UI warnt Sie nicht und entfernt in Ihren Spezifikationen keine Tabulatoren, Leerzeichen oder unerwünschte Zeichen (z. B. \n).
    9. Wiederholen Sie die vorherigen 2 Schritte, um zusätzliche Daten für das Datenerfassungsskript anzufordern. Einige Beschaffungsdatentypen sind nur einmal für ein Skript verfügbar, während andere mehrmals angegeben werden können. Nach dem Hinzufügen eines Beschaffungstyps zu einem Skript wird die Liste der im verfügbaren Beschaffungstypen angezeigt Fügen Sie einen Beschaffungstyp hinzuDropdown-Feld wird entsprechend angepasst.
    10. Um einen Beschaffungsdatentyp aus dem Skript zu entfernen, klicken Sie auf der Registerkarte „Beschaffung“ auf der linken Seite der Seite auf das x-Symbol ( ).
    Hinweis:
    Diese Integration unterstützt nicht Lassen Sie Bearbeitungen vor dem Erfassen zu Option beim Erstellen von Skripts. Stellen Sie daher sicher, dass das Kontrollkästchen deaktiviert ist.

    Exportieren eines Skripts aus FireEye

    Sie können ein Datenerfassungsskript in eine JSON-Datei exportieren. So exportieren Sie ein Datenerfassungsskript:
    1. Auswahlvorgang Datenerfassungsskripts > Administrator der Webbenutzeroberfläche von Endpoint Security.
    2. Wählen Sie im Menü „Administrator“ die Option Datenerfassungsskripts aus.
    3. Wählen Sie links auf der Seite das Skript aus, das Sie exportieren möchten.
    4. auswählen Aktionen > Skript exportieren.
    5. Eine JSON-Datei wird auf Ihren Computer heruntergeladen. Der JSON-Dateiname enthält das Betriebssystem, sodass Sie leicht bestimmen können, welche Skripts für welches Betriebssystem gelten.

    Erstellen einer neuen Datenerfassungsaktion in Now Platform

    Führen Sie die folgenden Schritte aus, um eine neue Aktion zu erstellen:
    1. Navigieren zu FireEye-Integration > FireEye: zusätzliche Aktionen. Die Liste „FireEye – Zusätzliche Aktionen“ wird angezeigt.
    2. Klicken Neu. Das Formular für die neue Aktion wird angezeigt.
    3. Füllen Sie das Formular aus.
      Aktionsname Name der ausgeführten FireEye-Aktion. Dieser Name hilft Ihnen, den Aktionstyp zu identifizieren und zu beschreiben.
      Akquisition Eine Akquisition erhält die zu analysierenden Daten. Dies ist ein schreibgeschütztes Feld, das standardmäßig auf Datenerfassung festgelegt ist.
      Quelle Name der FireEye-Quelle Nur konfigurierte Quellen sind in der Auswahlliste verfügbar.
      Fähigkeit Dies ist ein schreibgeschütztes Feld, das mit der Fähigkeit „Zusätzliche Aktion(en) ausführen“ ausgefüllt wird
      Akquisitionstyp Typ der Beschaffungsaktion, die abgerufen und analysiert werden muss.
      Aktiv Dies zeigt an, dass die Aktion aktiv ist.
      Genehmigung erforderlich

      Wenn Sie die Option Genehmigung erforderlich aktivieren, ist das Feld Genehmiger im Formular verfügbar. Nachdem Sie eine Anforderung gesendet haben, ist eine Genehmigung durch die Gruppe erforderlich, um die Anforderung abzuschließen.
      Tag anzeigen Typ des Betriebssystems wie Windows, Mac, Linux zum Hinzufügen von Skripts.
      Hinweis:
      Derzeit wird nur ein Betriebssystemtyp unterstützt. Sie können eine Aktion pro Betriebssystem erstellen. Erstellen Sie für andere Betriebssysteme nach Bedarf neue Aktionen.
      Skripts Das aus FireEye importierte Skript muss für den ausgewählten Betriebssystemtyp bereitgestellt werden. Jedem Betriebssystemtyp kann nur ein Skript hinzugefügt werden.
    4. Klicken Absenden.

    Auslösen von Datenerfassungen aus Security Incident

    Die erstellten zusätzlichen Aktionen können über den aufgerufenen zugehörigen Link ausgeführt werden Zusätzliche Aktion(en) für Endpunkt ausführen für den Security Incident.
    Hinweis:
    Lassen Sie Bearbeitungen vor dem Erfassen zu Die FireEye-Funktionalität wird für „Zusätzliche Aktionen“ für Endpunkt nicht unterstützt.