Configurer les profils et les incidents de sécurité pour l’intégration FireEye HX

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Une fois que vous avez créé un profil et sélectionné les FireEye HX options que vous souhaitez que le profil exécute, configurez les paramètres afin que le profil puisse être invoqué uniquement dans les conditions définies.

    Avant de commencer

    Rôle requis : sn_si.admin

    Configurez le profil de sorte qu’il s’exécute uniquement lorsque les conditions spécifiées sont remplies. Sélectionnez un autre champ d’entrée pour le champ Élément de configuration (CI), si nécessaire, et définissez des conditions de filtrage afin que le profil puisse être déclenché automatiquement lorsqu’un incident de sécurité répondant aux conditions de déclenchement est créé.
    Remarque :
    Vous pouvez accéder au modèle suivant : Configuration du profil page uniquement une fois que vous avez saisi la page Détails du profil.

    Procédure

    1. Accédez à la Intégration de FireEye > Profils d'aptitude FireEye.
    2. Cliquer sur Suivant sur le Détails du profil après avoir rempli la section Détails du profil.
    3. Examinez et configurez les sections suivantes :
      • Définir un critère d’incident (automatisation): définissez les conditions d’incident de sécurité qui déclenchent automatiquement les FireEye HX options du profil. Si vous ne sélectionnez pas l’icône Définir un critère d'incident , le profil et les options sous-jacentes peuvent être invoqués manuellement à partir de l’incident de sécurité.
        • Sélectionner Définir un critère d'incident Option permettant de déclencher FireEye HX automatiquement les options du profil.
        • Dans le Conditions de filtre, sélectionnez le champ requis.
        • Vous pouvez ajouter Nouveau critère et définissez également la condition OU ou ET.
          Remarque :
          Isoler l’hôte, Supprimer l’isolement de l’hôte, Obtenir le fichier ne peut pas être déclenché automatiquement.
      • Configuration supplémentaire: lorsque le champ Élément de configuration (CI) n’est pas renseigné sur l’incident de sécurité avec un nom d’hôte ou une adresse IP qui correspond à la base de données, vous pouvez sélectionner un autre champ sur l’incident de sécurité pour interroger les FireEye HX API.

        Section Configuration supplémentaire pour le profil d’aptitude FireEye.

      • Balises: vous pouvez éventuellement baliser les incidents de sécurité avec les balises de profil initié, de profil terminé et de FireEye HX profil échoué.

        Sélectionnez le Balise d'affichage Case à cocher permettant d’activer le balisage des incidents de sécurité, le nom du profil est précédé d’un préfixe sur l’activation de la balise. Par défaut, cette option est désactivée pour tous les profils.

        Activation des balises pour les incidents de sécurité.

      • Approbations: sélectionnez le Exiger l'approbation Case à cocher pour fournir un niveau de contrôle supplémentaire lors de l’utilisation des options d’isolation FireEye HX des machines hôtes, de restauration sur le réseau et d’obtention des fichiers.

        L’option d’approbation dans la configuration du profil s’affiche uniquement pour les options Isoler l’hôte, Supprimer l’isolement de l’hôte et Obtenir un fichier.

        Configurer les paramètres dans la section Approbation.

    4. Cliquez sur Terminé.
    5. Vérifiez les FireEye HX conditions de déclenchement.