Configurer les profils et les incidents de sécurité pour l’intégration FireEye HX

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

Après avoir créé un profil et sélectionné les FireEye HX options que vous souhaitez que le profil exécute, configurez les paramètres afin que le profil puisse être invoqué uniquement dans les conditions définies.

Avant de commencer

Rôle requis : sn_si.admin

Configurez le profil pour qu’il s’exécute uniquement lorsque les conditions que vous spécifiez sont remplies. Sélectionnez un autre champ d’entrée pour le champ Élément de configuration (CI), si nécessaire, et définissez des conditions de filtrage afin que le profil puisse être déclenché automatiquement lors de la création d’un incident de sécurité répondant aux conditions de déclenchement.

Remarque :

Vous pouvez accéder au modèle suivant : Configuration du profil page qu’après avoir saisi le Détails du profil.

Procédure

Accédez à la Intégration de FireEye > Profils d'aptitude FireEye.
Cliquer sur Suivant sur la Détails du profil après avoir renseigné la section Détails du profil.
Examinez et configurez les sections suivantes :
- Définir des critères d’incident (automatisation): définissez les conditions d’incident de sécurité qui déclencheraient automatiquement les FireEye HX options du profil. Si vous ne sélectionnez pas l’option Définir un critère d'incident , le profil et les options sous-jacentes peuvent être invoqués manuellement à partir de l’incident de sécurité.
  - Sélectionner Définir un critère d'incident Option permettant de déclencher FireEye HX automatiquement les options du profil.
  - Dans l' Conditions de filtre, sélectionnez le champ requis.
  - Vous pouvez ajouter Nouveau critère et définissez également la condition OR ou ET.
    Remarque :
    Isoler l’hôte, Supprimer l’isolement de l’hôte, Obtenir un fichier ne peuvent pas être déclenchés automatiquement.
- Configuration supplémentaire: lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour interroger les FireEye HX API.
  - Sélectionnez le Définir un champ alternatif Option permettant de définir un autre champ d’entrée.
  - Sélectionner le champ d’entrée à partir de Champ de déclenchement CI alternatif.
    Remarque :
    Pour plus d'informations, consultez Comprendre le fonctionnement des conditions de déclenchement avec un élément de configuration.
- Balises: vous pouvez éventuellement baliser les incidents de sécurité avec les balises de profil initié, de profil terminé et d’échec FireEye HX du profil.
  Sélectionnez le Balise d'affichage Case à cocher pour activer le balisage des incidents de sécurité, le nom du profil est précédé lors de l’activation de la balise. Par défaut, cette option est désactivée pour tous les profils.
- Approbations: sélectionnez l’icône Exiger l'approbation Cochez la case pour fournir un niveau de contrôle supplémentaire lors de l’utilisation FireEye HX des options d’isolement des ordinateurs hôtes, de restauration sur le réseau et d’obtention des fichiers.
  L’option d’approbation de la configuration de profil s’affiche uniquement pour les options Isoler l’hôte, Supprimer l’isolement de l’hôte et Obtenir un fichier.
Cliquez sur Terminé.
Vérifiez les FireEye HX conditions de déclenchement.