Actions supplémentaires FireEye sur le point de terminaison

Rversion finale: Australia

Mis à jour 12 mars 2026

5 minutes de lecture

L’intégration de FireEye prend en charge l’exécution d’actions supplémentaires au-delà des actions de référence.

Ces actions comprennent l’acquisition de triage et l’acquisition de données. Deux acquisitions de données prêtes à l’emploi sont prises en charge :

Script des détails de l’enquête complète
Script des détails de l’enquête standard

En outre, l’acquisition du triage est également prise en charge prête à l’emploi. Ces trois éléments sont créés par défaut en même temps que la source. Les clients peuvent également créer leurs propres actions, c’est-à-dire des acquisitions de données à partir du module Actions supplémentaires FireEye. [1] La taille maximale de fichier prise en charge pour les actions supplémentaires FireEye est de 1024, et cette valeur peut être configurée en changeant com.glide.attachment.max_taille, et le délai par défaut est de 120 minutes et peut être configuré à partir de la page Paramètres par défaut FireEye.

Script des détails de l’enquête complète

Permet de collecter tous les artefacts d’expertise et d’enquête à partir du point de terminaison, mais c’est l’option la plus coûteuse. Cette configuration est idéale dans les situations où il n’y a qu’une seule fenêtre pour collecter des données à partir du point de terminaison en question, et la possibilité d’acquérir plus de données ne peut être garantie ultérieurement. Alors, utilisez cette action avec prudence.

Script des détails de l’enquête standard

Active les options les plus courantes pour collecter des artefacts d’expertise et d’enquête à partir d’un point de terminaison. Destiné à être le principal outil de réponse lorsque vous soupçonnez qu’un point de terminaison peut être compromis et que vous devez effectuer une analyse approfondie de ce point de terminaison. Vise à trouver un équilibre entre la collecte des données les plus pertinentes et les plus précieuses tout en évitant les options coûteuses qui peuvent être collectées ultérieurement une fois qu’une enquête plus approfondie s’avère nécessaire.

Acquisition du triage

Les collections de triage contiennent des informations provenant du cache de vérification ainsi que des informations supplémentaires sur l’audit d’expertise, telles que l’historique des téléchargements d’URL, l’historique des téléchargements de fichiers, les listes de processus et de ports, ainsi que des informations système standard. Vous pouvez examiner ces informations lorsqu’un trafic réseau anormal est détecté et vous voulez plus de visibilité sur les actions des points de terminaison.

Gérer les scripts d’acquisition de données sur FireEye

Les demandes d’acquisition de données (parfois appelées demandes Live Response) vous permettent d’acquérir toutes les données dont vous avez besoin à partir d’un seul point de terminaison en cours d’exécution. À l’aide de la page Scripts d’acquisition de données de FireEye, vous pouvez créer, modifier, copier et supprimer les scripts d’acquisition de données utilisés pour les demandes d’acquisition de données.

Accès à la page Scripts d’acquisition de données sur FireEye

Pour accéder à la page Scripts d’acquisition de données :

Accédez à l’interface utilisateur Web de sécurité du point de terminaison.
Sélectionnez Scripts d’acquisition de données dans le menu Admin.

Création d’un script sur FireEye

Pour créer un script d’acquisition de données :

Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web de Endpoint Security.
Cliquer sur Créer un script.
Entrez un nom pour le nouveau script dans le Nom du script champ.
Vous pouvez également entrer une description du script.
Sélectionnez le système d’exploitation auquel le script s’applique. Vous ne pouvez sélectionner qu’un seul système d’exploitation dans la boîte de dialogue Créer un script.
Cliquer sur Créer pour démarrer la définition du script.
Sélectionner un type de données d’acquisition dans le Ajouter un type d’acquisitionde la liste déroulante et cliquer sur Ajouter. Les options pour le type d’acquisition que vous avez demandé s’affichent à droite de la liste de scripts.
Fournissez des valeurs pour les options de type d’acquisition ou utilisez les valeurs par défaut déjà sélectionnées. L’interface utilisateur Web ne vous avertit pas et ne supprime pas les tabulations, les espaces ou les caractères indésirables (tels que \n) dans vos spécifications.
Répétez les 2 étapes précédentes pour demander des données supplémentaires pour le script d’acquisition de données. Certains types de données d’acquisition ne sont disponibles qu’une seule fois pour un script, tandis que d’autres peuvent être spécifiés plusieurs fois. Après avoir ajouté un type d’acquisition à un script, la liste des types d’acquisition disponibles dans le Ajouter un type d’acquisitionLa liste déroulante s’ajuste de manière appropriée.
Pour supprimer un type de données d’acquisition du script, cliquez sur l’icône x ( ) dans l’onglet Acquisition sur le côté gauche de la page.

Remarque :

Cette intégration ne prend pas en charge Autoriser les modifications avant l’acquisition lors de la création de scripts. Assurez-vous donc que la case n’est pas cochée.

Exportation d’un script à partir de FireEye

Vous pouvez exporter un script d’acquisition de données dans un fichier JSON. Pour exporter un script d’acquisition de données :

Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web de Endpoint Security.
Sélectionnez Scripts d’acquisition de données dans le menu Admin.
Sélectionnez le script que vous souhaitez exporter sur le côté gauche de la page.
Sélectionner Actions > Exporter le script.
Un fichier JSON est téléchargé sur votre ordinateur. Le nom du fichier JSON inclut le système d’exploitation afin que vous puissiez facilement déterminer quels scripts sont destinés à quel système d’exploitation.

Création d’une nouvelle action d’acquisition de données dans le ServiceNow AI Platform

Pour créer une action, procédez comme suit :

Accédez à la Intégration de FireEye > Actions supplémentaires FireEye. La liste Actions supplémentaires FireEye s’affiche.
Cliquer sur Nouveau. Le formulaire pour la nouvelle action s’affiche.

Remplissez le formulaire.



Nom de l'action	Nom de l’action FireEye qui est effectuée. Ce nom vous aide à identifier le type d’action et à le décrire.
Achat	Une acquisition obtient les données à analyser. Il s’agit d’un champ en lecture seule, défini par défaut sur Acquisition de données.
Source	Nom de la source FireEye. Seules les sources configurées sont disponibles dans la liste de choix.
Aptitude	Il s’agit d’un champ en lecture seule, renseigné avec l’option Exécuter une ou plusieurs actions supplémentaires
Type d'acquisition	Type d’action d’acquisition qui doit être obtenue et analysée.
Actives	Cela indique que l’action est active.
Exiger l'approbation	Lorsque vous activez l’option Exiger l’approbation, le champ Approbateurs est disponible sur le formulaire. Après avoir soumis une demande, l’approbation du groupe est requise pour mener à bien la demande.
Balise d’affichage	Type de système d’exploitation tel que Windows, Mac, Linux pour l’ajout de scripts. Remarque : Un seul type de système d’exploitation est actuellement pris en charge. Vous pouvez créer une action par système d’exploitation. Pour les autres systèmes d’exploitation, créez de nouvelles actions si nécessaire.
Scripts	Le script importé de FireEye doit être fourni pour le type de système d’exploitation sélectionné. Un seul script peut être ajouté à chaque type de système d’exploitation.

Cliquer sur Soumettre.

Déclenchement des acquisitions de données à partir d’un incident de sécurité

Les actions supplémentaires créées peuvent être exécutées via le lien connexe appelé Exécuter une ou plusieurs actions supplémentaires sur le point de terminaison sur l’incident de sécurité.

Remarque :

Autoriser les modifications avant l’acquisition La fonctionnalité FireEye n’est pas prise en charge pour les actions supplémentaires sur le point de terminaison.