Actions supplémentaires FireEye sur le point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • L’intégration FireEye prend en charge l’exécution d’actions supplémentaires au-delà des actions de référence.

    Ces actions comprennent l’acquisition de triage et l’acquisition de données. D’emblée, deux acquisitions de données sont prises en charge :
    • Script complet des détails de l’enquête
    • Script des détails d’enquête standard

    En outre, l’acquisition de triage est également prise en charge prête à l’emploi. Ces trois éléments sont créés par défaut en même temps que la source. Les clients peuvent également créer leurs propres actions, par exemple des acquisitions de données à partir du module d’actions supplémentaires FireEye. [1] La taille de fichier maximale prise en charge pour les actions supplémentaires FireEye est de 1024, et cette valeur peut être configurée en modifiant com.glide.attachment.max_taille, et le délai d’expiration par défaut est de 120 minutes, qui peut être configuré à partir de la page Paramètres par défaut de FireEye.

    Script complet des détails de l’enquête

    Active la collecte de tous les artefacts d’investigation et d’investigation à partir du point de terminaison, mais c’est l’option la plus coûteuse. Cette configuration est idéale pour les situations où il n’y aura qu’une seule fenêtre pour collecter des données à partir du point de terminaison en question et où la possibilité d’acquérir plus de données ne peut pas être garantie ultérieurement. Utilisez donc cette action avec prudence.

    Script des détails d’enquête standard

    Active les options les plus courantes pour la collecte d’artefacts d’expertise et d’investigation à partir d’un point de terminaison. Destiné à être le principal outil de réponse lorsque vous soupçonnez qu’un point de terminaison peut être compromis et que vous devez effectuer une analyse approfondie de ce point de terminaison. Vise à trouver un équilibre entre la collecte des données les plus pertinentes et les plus précieuses tout en évitant les options coûteuses qui peuvent être collectées ultérieurement une fois qu’une enquête plus approfondie s’avère nécessaire.

    Acquisition du triage

    Les collections de triage contiennent des informations provenant du cache de référence, ainsi que des informations d’audit judiciaire supplémentaires, telles que l’historique des téléchargements d’URL, l’historique des téléchargements de fichiers, les listes de processus et de ports et les informations système standard. Vous pouvez examiner ces informations lorsqu’un trafic réseau anormal est détecté, et vous souhaitez plus de visibilité sur les actions de point de terminaison.

    Maintenance des scripts d’acquisition de données sur FireEye

    Les demandes d’acquisition de données (parfois appelées demandes Live Response) vous permettent d’acquérir toutes les données dont vous avez besoin à partir d’un seul point de terminaison en cours d’exécution. À l’aide de la page Scripts d’acquisition de données de FireEye, vous pouvez créer, modifier, copier et supprimer les scripts d’acquisition de données utilisés pour les demandes d’acquisition de données.

    Accéder à la page Scripts d’acquisition de données sur FireEye

    Pour accéder à la page Scripts d’acquisition de données :
    1. Accédez à l’interface utilisateur Web Endpoint Security.
    2. Sélectionnez Scripts d’acquisition de données dans le menu Administrateur.

    Création d’un script sur FireEye

    Pour créer un script d’acquisition de données :
    1. Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web d’Endpoint Security.
    2. Cliquer sur Créer un script.
    3. Entrez un nom pour le nouveau script dans le Nom du script Champ.
    4. Vous pouvez également entrer une description du script.
    5. Sélectionnez le système d’exploitation auquel le script s’applique. Vous ne pouvez sélectionner qu’un seul système d’exploitation dans la boîte de dialogue Créer un script.
    6. Cliquer sur Créer pour démarrer la définition du script.
    7. Sélectionnez un type de données d’acquisition dans Ajouter un type d’acquisitionliste déroulante et cliquez sur Ajouter. Les options pour le type d’acquisition que vous avez demandé apparaissent à droite de la liste de scripts.
    8. Fournissez les valeurs des options de type d’acquisition ou utilisez les valeurs par défaut déjà sélectionnées. L’interface utilisateur Web ne vous avertit pas et ne supprime pas les tabulations, les espaces ou les caractères indésirables (tels que \n) dans vos spécifications.
    9. Répétez les 2 étapes précédentes pour demander des données supplémentaires pour le script d’acquisition de données. Certains types de données d’acquisition ne sont disponibles qu’une seule fois pour un script, tandis que d’autres peuvent être spécifiés plusieurs fois. Après avoir ajouté un type d’acquisition à un script, la liste des types d’acquisition disponibles dans le Ajouter un type d’acquisitionLa liste déroulante s’ajuste de manière appropriée.
    10. Pour supprimer un type de données d’acquisition du script, cliquez sur l’icône x ( ) dans l’onglet d’acquisition sur le côté gauche de la page.
    Remarque :
    Cette intégration ne prend pas en charge Autoriser les modifications avant l’acquisition lors de la création de scripts. Assurez-vous donc que la case à cocher n’est pas cochée.

    Exportation d’un script à partir de FireEye

    Vous pouvez exporter un script d’acquisition de données vers un fichier JSON. Pour exporter un script d’acquisition de données :
    1. Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web de Endpoint Security.
    2. Sélectionnez Scripts d’acquisition de données dans le menu Administrateur.
    3. Sélectionnez le script que vous souhaitez exporter sur le côté gauche de la page.
    4. sélectionner Actions > Exporter le script.
    5. Un fichier JSON est téléchargé sur votre ordinateur. Le nom du fichier JSON inclut le système d’exploitation afin que vous puissiez facilement déterminer quels scripts sont destinés à quel système d’exploitation.

    Création d’une nouvelle action d’acquisition de données dans la Now Platform

    Pour créer une action, procédez comme suit :
    1. Accédez à la Intégration de FireEye > Actions supplémentaires FireEye. La liste des actions supplémentaires FireEye s’affiche.
    2. Cliquer sur Nouveau. Le formulaire de la nouvelle action s’affiche.
    3. Remplissez le formulaire.
      Nom de l'action Nom de l’action FireEye effectuée. Ce nom vous permet d’identifier le type d’action et de le décrire.
      Achat Une acquisition permet d’obtenir les données à analyser. Il s’agit d’un champ en lecture seule qui est défini par défaut sur Acquisition de données.
      Source Nom de la source FireEye. Seules les sources configurées sont disponibles à partir de la liste de choix.
      Aptitude Ce champ est en lecture seule et est renseigné avec l’option Exécuter une ou plusieurs actions supplémentaires
      Type d'acquisition Type d’action d’acquisition qui doit être obtenue et analysée.
      Actif Cela indique que l’action est active.
      Exiger l'approbation

      Lorsque vous activez l’option Exiger l’approbation, le champ Approbateurs est disponible sur le formulaire. Une fois que vous avez soumis une demande, le groupe doit donner son approbation pour terminer la demande.
      Balise d'affichage Type de système d’exploitation tel que Windows, Mac, Linux pour l’ajout de scripts.
      Remarque :
      Un seul type de système d’exploitation est actuellement pris en charge. Vous pouvez créer une action par système d’exploitation. Pour les autres systèmes d’exploitation, créez de nouvelles actions selon les besoins.
      Scripts Le script importé de FireEye doit être fourni pour le type de système d’exploitation sélectionné. Un seul script peut être ajouté à chaque type de système d’exploitation.
    4. Cliquer sur Envoyer.

    Déclenchement des acquisitions de données à partir d’un incident de sécurité

    Les actions supplémentaires créées peuvent être exécutées via le lien connexe appelé Exécuter une ou plusieurs actions supplémentaires sur le point de terminaison sur l’incident de sécurité.
    Remarque :
    Autoriser les modifications avant l’acquisition La fonctionnalité FireEye n’est pas prise en charge pour les actions supplémentaires sur le point de terminaison.