Configurer les profils et les incidents de sécurité pour l’intégration FireEye HX

Rversion finale: Xanadu

Mis à jour 1 août 2024

2 minutes de lecture

Après avoir créé un profil et sélectionné les FireEye HX fonctionnalités que vous souhaitez que le profil exécute, configurez les paramètres de sorte que le profil ne puisse être invoqué que dans les conditions définies.

Avant de commencer

Rôle requis : sn_si.admin

Configurez le profil de manière à ce qu’il s’exécute uniquement lorsque les conditions que vous spécifiez sont remplies. Sélectionnez un autre champ d’entrée pour le champ Élément de configuration (CI), si nécessaire, et définissez les conditions de filtrage afin que le profil puisse être déclenché automatiquement lors de la création d’un incident de sécurité répondant aux conditions de déclenchement.

Remarque :

Vous pouvez accéder au modèle suivant : Configuration du profil page qu’après avoir saisi le Détails du profil.

Procédure

Accédez à la Intégration de FireEye > Profils d'aptitude FireEye.
Cliquer sur Suivant sur le Détails du profil après avoir renseigné la section Détails du profil.
Examinez et configurez les sections suivantes :
- Définir un critère d’incident (automatisation): définir les conditions d’incident de sécurité qui déclencheraient automatiquement les FireEye HX options du profil. Si vous ne sélectionnez pas l’icône Définir un critère d'incident , le profil et les options sous-jacentes peuvent être invoqués manuellement à partir de l’incident de sécurité.
  - Sélectionner Définir un critère d'incident Option permettant de déclencher FireEye HX automatiquement les options dans le profil.
  - Dans l' Conditions de filtre, sélectionnez le champ requis.
  - Vous pouvez ajouter Nouveau critère et définissez également la condition OU ou ET.
    Remarque :
    Isoler l’hôte, Supprimer l’isolement de l’hôte, Obtenir le fichier ne peuvent pas être déclenchés automatiquement.
- Configuration supplémentaire: lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour interroger les FireEye HX API.
  - Sélectionnez le Définir un autre champ Option permettant de définir un autre champ d’entrée.
  - Sélectionner le champ d’entrée dans le Champ de déclenchement CI alternatif.
    Remarque :
    Pour plus d'informations, consultez Comprendre le fonctionnement des conditions de déclenchement avec un élément de configuration.
- Balises: vous pouvez éventuellement baliser les incidents de sécurité avec le profil initié, le profil terminé et les FireEye HX balises ayant échoué.
  Sélectionnez le Balise d'affichage Case à cocher pour activer le marquage des incidents de sécurité, le nom du profil est préfixé lors de l’activation de la balise. Par défaut, cette option est désactivée pour tous les profils.
- Approbations: sélectionnez l’icône Exiger l'approbation Case à cocher pour fournir un niveau de contrôle supplémentaire lors de l’utilisation des FireEye HX options d’isolement des ordinateurs hôtes, de restauration sur le réseau et d’obtention des fichiers.
  L’option d’approbation de la configuration du profil s’affiche uniquement pour les options Isoler l’hôte, Supprimer l’isolement de l’hôte et Obtenir un fichier.
Cliquez sur Terminé.
Vérifiez les FireEye HX conditions de déclenchement.