Zeitstempeleinstellungen für Selektierungsakquisition werden konfiguriert

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Konfigurieren und überprüfen Sie die Zeitstempeleinstellungen vor dem Installationsverfahren.

    Vorbereitungen

    Erforderliche Rolle: Now Platform Security Incident Administrator (sn_si. admin)

    Vor der Installation der Anwendung FireEye müssen in FireEye einige Voraussetzungen erfüllt sein.

    Die Selektierungserfassung kann durch Eingabe des Felds „Um Zeitstempel“ oder „Standard“ angefordert werden. Um Zeitstempel-Anforderungsinformationen, die während eines angegebenen Zeitraums vor dem Zeitstempel bis zu einem angegebenen Zeitraum nach dem Zeitstempel gesammelt wurden. Der Zeitstempel gibt die Uhrzeit an, zu der das Ereignis aufgetreten ist, von dem die Warnung generiert wurde. Wenn Sie Standard auswählen, fordert die Endpoint Security-Appliance vom Host Informationen zu allen Daten rund um ein Ereignis an.

    Wenn ein Endpoint Security-Benutzer eine Selektierungssammlung basierend auf einem bestimmten Datum und einer bestimmten Uhrzeit anfordert, gibt der Agent Informationen für ein bestimmtes Zeitfenster vor und nach der Warnung zurück. Die Zeitstempeleinstellungen steuern die Länge des Fensters für die Selektierungssammlung. Zeitstempeleinstellungen gelten nur für Agent-URL-Ereignisse (URL-Überwachungsereignisse) und Registrierungsschlüssel-Ereignisse (Registrierungsschlüssel-Ereignisse).

    Auf der Registerkarte Zeitstempeleinstellungen können Sie festlegen, wie lange vor und nach dem Zeitstempel Informationen gesammelt werden. Zeitstempeleinstellungen können im Bereich von 0 bis 86.400 Sekunden liegen. Der Standardwert für beide Einstellungen beträgt 600 Sekunden.

    Auf der Seite Einstellungen für automatische Selektierung können Sie die Registerkarte Zeitstempeleinstellungen verwenden, um die Zeitspanne vor und nach dem Zeitstempel festzulegen, während der Informationen gesammelt werden. Der Zeitstempel gibt die Zeit an, zu der das Ereignis aufgetreten ist, das die Warnung ausgelöst hat.

    Prozedur

    1. Navigieren zu Web-UI für Endpunktsicherheitan.
    2. Auswahlvorgang Administrator > Selektierungseinstellungenan.
    3. Klicken Zeitstempeleinstellungen Registerkarte auf Einstellungen für automatische Selektierung Seite.
    4. Geben Sie an, wie lange vor und nach dem Zeitstempel die Informationen benötigt werden.
    5. Geben Sie die Anzahl der Sekunden vor dem angegebenen Zeitstempel ein, für die die Informationen benötigt werden.
    6. Geben Sie die Anzahl der Sekunden nach dem Zeitstempel ein, für die die Informationen benötigt werden.
    7. Klicken Speichernan.
      Hinweis:
      Sie können alle Werte auf der Seite auf die Standardeinstellungen zurücksetzen, indem Sie auf klicken Auf Standardwerte zurücksetzen, und klicken Sie auf Speichern.
      • Beschaffungs-Space-Bereich: Auf der Seite „Akquisitionen“ wird angezeigt, wie viel Speicherplatz noch für Akquisitionen verfügbar ist.
      • Festlegen von Grenzwerten für die Festplattenauslastung für Akquisitionen:
        • Selektierungen, Datei- und Datenerfassungen können sich mit der Zeit ansammeln und immer mehr Speicherplatz beanspruchen. Um dies zu steuern, können Sie ihnen eine bestimmte Menge an Speicherplatz zuweisen. 10 % des von Ihnen angegebenen Speicherplatzes sind für automatische Selektierungsakquisitionen reserviert. Wenn der insgesamt zugeteilte Speicherplatz überschritten wird, werden die ältesten automatischen Selektierungen gelöscht.
        • Wenn die Gesamtdatenträgergröße der abgeschlossenen Erfassungen einen bestimmten Grenzwert überschreitet, löscht das Endpoint Security-Gerät die ältesten abgeschlossenen Erfassungen, bis genügend Speicherplatz frei ist, um die Gesamtgröße unter den angegebenen Grenzwert zu bringen. Akquisitionen, die noch nicht abgeschlossen wurden, sind nicht betroffen.
        • Die Endpoint Security-Appliance löscht automatisch Erfassungen, wenn ein Administrator, Analyst oder Ermittler die Endpoint Security-Web-UI verwendet, um den zugehörigen Agent manuell zu löschen.
        So legen Sie Grenzwerte für die Datenträgerauslastung für vollständige Beschaffungen über die Web-UI fest:
      • Navigieren Sie zu Endpunktsicherheit Web-UI.
      • Auswahlvorgang Grenzwerte für die Festplattenauslastung aus dem Administrator Menü.
      • Im Platzlimit für Beschaffung Bereich; geben Sie die maximale Menge an Festplattenspeicher (in GB) an, der zum Speichern von Selektierungen, Datei- und Datenerfassungen verwendet werden kann. Gültige Werte und Standardwerte variieren je nach Ihrem Endpunktsicherheits-Appliance-Modell. Die für Ihr Modell geeigneten Werte werden auf der Seite „Limits für die Festplattenauslastung“ angezeigt.
      • Klicken Speichernan.
      Hinweis:
      Alle genannten Einstellungen werden berücksichtigt, und bei Fehlern gibt Now Platform nur diese Fehler zurück.