FireEye : capacité d’obtention de fichier

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Les demandes d’acquisition de fichiers demandent à un agent Endpoint Security d’obtenir un fichier à partir de son point de terminaison hôte. Les acquisitions de fichiers sont utilisées pour l’analyse statique ou dynamique de compromissions potentielles ou vérifiées, ainsi que pour la conservation de preuves lors d’enquêtes sur les menaces internes. L’option Obtenir un fichier doit être créée sous la forme d’un profil distinct.

    Avant de commencer

    Rôle requis : administrateur

    Déclenchement de l’obtention d’un profil de fichier et de la création d’un profil d’aptitude FireEye HX avec Obtenir un fichier capacité.

    Procédure

    1. Accédez à la Incidents de sécurité > Afficher les incidents.
    2. Sélectionnez l’incident de sécurité que vous souhaitez examiner.
    3. Cliquer sur Exécuter le(s) profil(s) EDRdans la section Liens connexes.
    4. Parcourez et sélectionnez Obtenir un profil de fichier dans la liste des profils disponibles.
    5. Fournissez l’attribut Nom de fichier et Chemin d'accès au fichier.
      Remarque :
      Entrez le nom du fichier que vous souhaitez acquérir. Spécifiez un nom de chemin d’accès précis ou une autre variable d’environnement Windows appropriée basée sur le chemin d’accès. Vous devez spécifier les noms de la lettre du lecteur ou du chemin d’accès. Différents points de terminaison peuvent avoir des mappages de lecteur différents. Si vous spécifiez explicitement un nom de dossier, vous pouvez terminer le chemin d’accès par une barre oblique inverse. Toutefois, la barre oblique inverse finale n’est pas obligatoire.
    6. Cliquer sur Soumettre.
    7. Passez en revue la section des notes de travail et des activités.
    8. Afficher les balises et vérifier les résultats dans le Obtenir un fichier liste connexe.
      Remarque :
      L’option Obtenir un profil de fichier est maintenant déclenchée manuellement.
      Obtenir la liste connexe des fichiers

      Pour examiner une acquisition de fichier téléchargé :

      • Ouvrez le fichier d’acquisition .zip fichier.
      • Entrez le mot de passe requis pour ouvrir le fichier. Le mot de passe peut être consulté en passant la souris sur le lien de téléchargement dans FireEye HX la console. Suivez les étapes ci-dessous pour afficher le mot de passe :
        • Connectez-vous à la console FireEye HX.
        • Accédez à la Acquisitions et filtrer par Type d’acquisition – Fichier.
        • Sélectionnez l’enregistrement souhaité.
          Remarque :
          Vous pourrez voir les détails du fichier acquis sur l’onglet de droite.
        • Passez la souris sur le Télécharger lien disponible en haut pour obtenir le mot de passe.
        • Ouvrez et vérifiez les fichiers contenus dans le fichier .zip à l’aide de n’importe quel éditeur texte ou XML.
          Remarque :
          • Il est recommandé d’ajouter manuellement le fichier récupéré en tant qu’observable, afin qu’il puisse être suivi en tant que preuve par rapport à l’incident de sécurité. Cela permettra également de visualiser les fichiers à l’avenir, en cas d’oubli ou de modification du mot de passe.
          • La taille de fichier maximale prise en charge pour l’action Obtenir un fichier est de 1 024 Mo, et cette valeur peut être configurée en changeant com.glide.attachment.max_tailleet le délai d’expiration par défaut est de 60 minutes et peut être configuré à partir de la FireEye HX page Paramètres par défaut.
            Obtenez les options de mise à jour et de suppression de fichier. Options de renommage et de téléchargement des pièces jointes.
          • L’obtention du fichier peut également être déclenchée à partir de la liste connexe des éléments de configuration.
            Obtenez les options de mise à jour et de suppression de fichier. Options de renommage et de téléchargement des pièces jointes.