Erstellen Sie ein neues Fähigkeitsprofil für die FireEye-Endpunktintegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Erstellen Sie ein Profil, und wählen Sie die FireEye HX -Fähigkeiten aus, die das Profil ausführen soll.

    Vorbereitungen

    Erforderliche Rolle: Now Platform Security Incident Administrator (sn_si. admin)

    Warum und wann dieser Vorgang ausgeführt wird

    Profile werden erstellt, um Fähigkeiten zu bündeln und es Analysten zu ermöglichen, die Untersuchung/Nachbesserung einfach durchzuführen.

    Im Folgenden finden Sie die Liste der Fähigkeiten, die Sie Profilen hinzufügen können:
    1. Hostdetails abrufen
    2. Angemeldete Anwender abrufen
    3. Netzwerkstatistiken abrufen
    4. Laufende Prozesse abrufen
    5. Laufende Services abrufen
    6. Datei abrufen
    7. Host isolieren
    8. Isolation entfernen

    Sie können die Funktionen „Datei abrufen“, „Host isolieren“ und „Hostisolierung entfernen“ nicht mit anderen Funktionen kombinieren, während Sie ein Profil erstellen. Profile dafür müssen einzeln erstellt werden. Die Aktionen „Systemdetails abrufen“, „Angemeldete Anwender abrufen“, „Netzwerkstatistiken abrufen“, „Laufende Prozesse abrufen“ und „Laufende Services abrufen“ können hingegen zusammengefasst werden. Sie können Profile einzeln erstellen oder sie je nach Bedarf ganz oder teilweise zusammenstellen. Sobald eine Fähigkeit in einem Profil enthalten ist, kann sie nicht in ein anderes Profil aufgenommen werden.

    Um ein neues Fähigkeitsprofil zu erstellen, gehen Sie wie folgt vor:

    Prozedur

    1. Navigieren zu FireEye-Integration > FireEye-Funktionalitätsprofile.
      Die Liste der Fähigkeitsprofile wird angezeigt.
    2. Klicken Neu.
    3. Füllen Sie die Felder im Formular aus.
      Name Name für das Fähigkeitsprofil FireEye HX. Mit diesem Namen können Sie den Profiltyp identifizieren und beschreiben.
      Beschreibung Zusätzliche Informationen zum Profil, die das Profil weiter beschreiben.
      Quelle Name der FireEye HX -Quelle. In der Auswahlliste sind nur konfigurierte Quellen verfügbar.
      FireEye HX-Fähigkeiten Fähigkeiten des Profils FireEye HX. Wählen Sie die gewünschten Fähigkeiten für dieses Profil aus der Spalte Verfügbar aus, und verschieben Sie sie in die Spalte Ausgewählt.
      Bestellung Flow-Priorität. Der Standardwert ist 100. Der Wert dieses Felds gibt die Reihenfolge an, in der Flows ausgeführt werden, wenn zwei oder mehr Profile Auslösebedingungen gemeinsam nutzen.

      Der Flow mit der niedrigsten Nummer hat die höchste Priorität.

      Um die Reihenfolge der Vorgänge festzulegen, geben Sie einen Wert ein. Beispiel: 100, 200, 300, 400.
      Aktiv Dies zeigt an, dass das Profil aktiv ist. Wenn das Profil aktiv ist, wird es automatisch ausgelöst, wenn ein Security Incident erstellt wird, der den von Ihnen in der Konfiguration angegebenen Filterbedingungen entspricht.
      Die folgende Abbildung zeigt ein Beispiel für ein ausgefülltes Formular für Profildetails mit der Fähigkeit „Hostdetails abrufen“.
    4. Klicken Weiter um mit der Profilkonfiguration fortzufahren.
      Fähigkeitsprofil
      Hinweis:
      Die Funktionen „Host isolieren“, „Hostisolierung entfernen“ und „Datei abrufen“ können nicht mit anderen Funktionen verknüpft werden.

    Nächste Maßnahme

    Im nächsten Schritt konfigurieren Sie Ihr Profil. Bevor Sie die Einstellungen für das Profil konfigurieren, sollten Sie sich die Konzepte zum Konfigurieren von Profilen und Auslösebedingungen ansehen. Weitere Informationen finden Sie unter Funktionsweise von Auslösebedingungen mit Konfigurationselementen für Profile verstehen.