Aptitude Obtenir un fichier FireEye

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Les demandes d’acquisition de fichiers demandent à un agent de sécurité du point de terminaison d’obtenir un fichier à partir de son point de terminaison hôte. L’acquisition de fichiers est utilisée pour l’analyse statique ou dynamique des compromissions potentielles ou vérifiées, ainsi que pour la conservation des preuves lors d’enquêtes sur les menaces internes. L’aptitude Obtenir un fichier doit être créée en tant que profil distinct.

    Avant de commencer

    Rôle requis : admin

    Déclenchement de l’obtention d’un profil de fichier et création d’un profil d’aptitude FireEye HX avec Obtenir un fichier capacité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner.
    3. Cliquer sur Exécuter le(s) profil(s) EDRdans la section Liens connexes.
    4. Parcourez et sélectionnez Obtenir un profil de fichier dans la liste des profils disponibles.
    5. Fournir le Nom de fichier et Chemin d'accès au fichier.
      Remarque :
      Entrez le nom du fichier pour lequel vous souhaitez acquérir. Spécifiez un nom de chemin d’accès précis ou une autre variable d’environnement Windows appropriée basée sur un chemin d’accès. Vous devez spécifier la lettre du lecteur ou les noms de chemin d’accès. Différents points de terminaison peuvent avoir des mappages de lecteur différents. Si vous spécifiez explicitement un nom de dossier, vous pouvez terminer le chemin d’accès par une barre oblique inverse. Cependant, la barre oblique inverse finale n’est pas obligatoire.
    6. Cliquer sur Soumettre.
    7. Passez en revue la section Notes de travail et activités.
    8. Affichez les balises et vérifiez les résultats dans le Obtenir un fichier liste connexe.
      Remarque :
      Le profil Obtenir un fichier est maintenant déclenché manuellement.
      Obtenir la liste connexe des fichiers

      Pour examiner l’acquisition d’un fichier téléchargé :

      • Ouvrez l’acquisition de fichier .zip fichier.
      • Entrez le mot de passe requis pour ouvrir le fichier. Le mot de passe peut être consulté en passant la souris sur le lien de téléchargement dans FireEye HX la console. Suivez les étapes ci-dessous pour afficher le mot de passe :
        • Connectez-vous à la console FireEye HX.
        • Accédez à la Acquisitions et filtrez par Type d’acquisition – Fichier.
        • Sélectionnez l’enregistrement souhaité.
          Remarque :
          Vous pourrez voir les détails du fichier acquis sur l’onglet de droite.
        • Survolez le Télécharger Lien disponible en haut pour obtenir le mot de passe.
        • Ouvrez et passez en revue les fichiers dans le fichier .zip à l’aide de n’importe quel éditeur de texte ou XML.
          Remarque :
          • Il est recommandé d’ajouter manuellement le fichier récupéré en tant qu’observable afin de pouvoir le suivre en tant que preuve par rapport à l’incident de sécurité. Cela aidera également à visualiser les fichiers à l’avenir, lorsque le mot de passe est oublié ou modifié.
          • La taille maximale de fichier prise en charge pour l’action Obtenir un fichier est de 1 024 Mo, et cette valeur peut être configurée en changeant com.glide.attachment.max_taille, et le délai par défaut est de 60 minutes, qui peut être configuré à partir de la FireEye HX page Paramètres par défaut.
            Options Obtenir la mise à jour et la suppression du fichier. Options de renommage et de téléchargement des pièces jointes.
          • L’obtention du fichier peut également être déclenchée à partir de la liste connexe des éléments de configuration.
            Options Obtenir la mise à jour et la suppression du fichier. Options de renommage et de téléchargement des pièces jointes.