Capacité d’obtention de fichier FireEye

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Les demandes d’acquisition de fichiers demandent à un agent Endpoint Security d’obtenir un fichier à partir de son point de terminaison hôte. Les acquisitions de fichiers sont utilisées pour l’analyse statique ou dynamique de compromissions potentielles ou vérifiées, ainsi que pour la conservation de preuves lors d’enquêtes sur les menaces internes. L’aptitude Obtenir un fichier doit être créée en tant que profil distinct.

    Avant de commencer

    Rôle requis : admin

    Déclenchement de l’option Obtenir un profil de fichier et créer un profil d’aptitude FireEye HX avec Obtenir un fichier Capacité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher tous les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner.
    3. Cliquer sur Exécuter le(s) profil(s) PEPTdans la section Liens connexes.
    4. Parcourez et sélectionnez Obtenir un profil de fichier dans la liste des profils disponibles.
    5. Fournissez l’attribut Nom de fichier et Chemin d'accès au fichier.
      Remarque :
      Entrez le nom du fichier que vous souhaitez acquérir. Spécifiez un nom de chemin d’accès précis ou une autre variable d’environnement Windows appropriée basée sur le chemin d’accès. Vous devez spécifier les noms de la lettre du lecteur ou du chemin d’accès. Différents points de terminaison peuvent avoir des mappages de lecteur différents. Si vous spécifiez explicitement un nom de dossier, vous pouvez terminer le chemin d’accès par une barre oblique inverse. Toutefois, la barre oblique inverse finale n’est pas obligatoire.
    6. Cliquer sur Envoyer.
    7. Passez en revue la section Notes de travail et Activités.
    8. Afficher les balises et vérifier les résultats dans le Obtenir un fichier liste connexe.
      Remarque :
      Le profil Obtenir un fichier est maintenant déclenché manuellement.

      Pour examiner l’acquisition d’un fichier téléchargé :

      • Ouvrez l’acquisition de fichiers .zip fichier.
      • Entrez le mot de passe requis pour ouvrir le fichier. Le mot de passe peut être consulté en survolant le lien de téléchargement dans FireEye HX la console. Suivez les étapes ci-dessous pour afficher le mot de passe :
        • Connectez-vous à la console FireEye HX.
        • Accédez à la Acquisitions et filtrez par Type d’acquisition – Fichier.
        • Sélectionnez l’enregistrement souhaité.
          Remarque :
          Vous pourrez voir les détails du fichier acquis sur l’onglet de droite.
        • Passez la souris sur le Télécharger Lien disponible en haut pour obtenir le mot de passe.
        • Ouvrez et examinez les fichiers du fichier .zip à l’aide d’un éditeur de texte ou XML.
          Remarque :
          • Il est recommandé d’ajouter manuellement le fichier récupéré en tant qu’observable afin qu’il puisse être suivi comme preuve par rapport à l’incident de sécurité. Cela aidera également à visualiser les fichiers à l’avenir, en cas d’oubli ou de modification du mot de passe.
          • La taille de fichier maximale prise en charge pour l’action Obtenir un fichier est de 1 024 Mo et cette valeur peut être configurée en modifiant com.glide.attachment.max_tailleet le délai d’expiration par défaut est de 60 minutes, ce qui peut être configuré à partir de la FireEye HX page Paramètres par défaut.
          • L’obtention du fichier peut également être déclenchée à partir de la liste connexe des éléments de configuration.