Actions supplémentaires FireEye sur le point de terminaison

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

5 minutes de lecture

L’intégration de FireEye prend en charge l’exécution d’actions supplémentaires au-delà des actions de référence.

Ces actions comprennent l’acquisition de triage et l’acquisition de données. Deux acquisitions de données prêtes à l’emploi sont prises en charge :

Script des détails de l’enquête complète
Script des détails d’enquête standard

De plus, l’acquisition du triage est également prise en charge prête à l’emploi. Ces trois éléments sont créés par défaut en même temps que la source. Les clients peuvent également créer leurs propres actions, c’est-à-dire des acquisitions de données à partir du module Actions supplémentaires FireEye. [1] La taille maximale de fichier prise en charge pour les actions supplémentaires FireEye est de 1024, et cette valeur peut être configurée en changeant com.glide.attachment.max_size, et le délai par défaut est de 120 minutes et peut être configuré à partir de la page Paramètres par défaut de FireEye.

Script des détails de l’enquête complète

Permet de collecter tous les artefacts d’expertise et d’enquête à partir du point de terminaison, mais constitue l’option la plus coûteuse. Cette configuration est idéale dans les situations où il n’y aura qu’une seule fenêtre pour collecter des données à partir du point de terminaison en question, et la possibilité d’acquérir plus de données ne peut être garantie ultérieurement. Utilisez donc cette action avec prudence.

Script des détails d’enquête standard

Active les options les plus courantes pour la collecte d’artefacts d’expertise et d’enquête à partir d’un point de terminaison. Il s’agit du principal outil d’intervention lorsque vous soupçonnez qu’un point de terminaison peut être compromis et que vous devez effectuer une analyse approfondie de ce point de terminaison. Vise à trouver un équilibre entre la collecte des données les plus pertinentes et les plus précieuses tout en évitant les options coûteuses qui peuvent être collectées ultérieurement une fois qu’une enquête plus approfondie s’avère nécessaire.

Acquisition du triage

Les collections de triage contiennent des informations provenant du cache de vérification ainsi que des informations supplémentaires sur les audits d’expertise, telles que l’historique des téléchargements d’URL, l’historique des téléchargements de fichiers, les listes des processus et des ports et les informations système standard. Vous pouvez examiner ces informations lorsqu’un trafic réseau anormal est détecté et vous souhaitez avoir plus de visibilité sur les actions des points de terminaison.

Gestion des scripts d’acquisition de données sur FireEye

Les demandes d’acquisition de données (parfois appelées demandes Live Response) vous permettent d’acquérir toutes les données dont vous avez besoin à partir d’un seul point de terminaison en cours d’exécution. À l’aide de la page Scripts d’acquisition de données de FireEye, vous pouvez créer, modifier, copier et supprimer les scripts d’acquisition de données utilisés pour les demandes d’acquisition de données.

Accéder à la page Scripts d’acquisition de données sur FireEye

Pour accéder à la page Scripts d’acquisition de données :

Accédez à l’interface utilisateur web de la sécurité du point de terminaison.
Sélectionnez les scripts d’acquisition de données dans le menu Admin.

Création d’un script sur FireEye

Pour créer un script d’acquisition de données :

Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web de Sécurité du point de terminaison.
Cliquer sur Créer un script.
Entrez un nom pour le nouveau script dans le Nom du script champ.
Vous pouvez également entrer une description du script.
Sélectionnez le système d’exploitation auquel le script s’applique. Vous ne pouvez sélectionner qu’un seul système d’exploitation dans la boîte de dialogue Créer un script.
Cliquer sur Créer pour démarrer la définition du script.
Sélectionner un type de données d’acquisition dans le Ajouter un type d’acquisition, puis cliquez sur Ajouter. Les options pour le type d’acquisition que vous avez demandé s’affichent à droite de la liste des scripts.
Fournissez des valeurs pour les options de type d’acquisition ou utilisez les valeurs par défaut déjà sélectionnées. L’interface utilisateur Web ne vous avertit pas et ne supprime pas les tabulations, les espaces ou les caractères indésirables (tels que \n) dans vos spécifications.
Répétez les 2 étapes précédentes pour demander des données supplémentaires pour le script d’acquisition de données. Certains types de données d’acquisition ne sont disponibles qu’une seule fois pour un script, tandis que d’autres peuvent être spécifiés plusieurs fois. Après avoir ajouté un type d’acquisition à un script, la liste des types d’acquisition disponibles dans le Ajouter un type d’acquisitionla liste déroulante s’ajuste de manière appropriée.
Pour supprimer un type de données d’acquisition du script, cliquez sur l’icône x ( ) dans l’onglet Acquisition sur le côté gauche de la page.

Remarque :

Cette intégration ne prend pas en charge Autoriser les modifications avant l’acquisition lors de la création de scripts. Assurez-vous donc que la case à cocher n’est pas cochée.

Exportation d’un script à partir de FireEye

Vous pouvez exporter un script d’acquisition de données vers un fichier JSON. Pour exporter un script d’acquisition de données :

Sélectionner Scripts d’acquisition de données > Administrateur de l’interface utilisateur Web de la sécurité du point de terminaison.
Sélectionnez les scripts d’acquisition de données dans le menu Admin.
Sélectionnez le script que vous souhaitez exporter sur le côté gauche de la page.
sélectionner Actions > Exporter le script.
Un fichier JSON est téléchargé sur votre ordinateur. Le nom du fichier JSON inclut le système d’exploitation afin que vous puissiez facilement déterminer quels scripts sont destinés à quel système d’exploitation.

Création d’une nouvelle action d’acquisition de données dans Now Platform

Pour créer une action, procédez comme suit :

Accédez à la Intégration de FireEye > Actions supplémentaires FireEye. La liste Actions supplémentaires FireEye s’affiche.
Cliquer sur Nouvelle. Le formulaire pour la nouvelle action s’affiche.

Remplissez le formulaire.



Nom de l'action	Nom de l’action FireEye effectuée. Ce nom vous aide à identifier le type d’action et à le décrire.
Achat	Une acquisition obtient les données à analyser. Il s’agit d’un champ en lecture seule, défini par défaut sur Acquisition de données.
Source	Nom de la source FireEye. Seules les sources configurées sont disponibles dans la liste de choix.
Aptitude	Il s’agit d’un champ en lecture seule. Il est renseigné avec l’aptitude Exécuter une ou plusieurs actions supplémentaires
Type d'acquisition	Type d’action d’acquisition à obtenir et à analyser.
Actif	Cela indique que l’action est active.
Exiger l'approbation	Lorsque vous activez l’option Exiger l’approbation, le champ Approbateurs est disponible sur le formulaire. Après avoir soumis une demande, l’approbation du groupe est requise pour terminer la demande.
Balise d’affichage	Type de système d’exploitation tel que Windows, Mac, Linux pour l’ajout de scripts. Remarque : Un seul type de système d’exploitation est actuellement pris en charge. Vous pouvez créer une action par système d’exploitation. Pour les autres systèmes d’exploitation, créez de nouvelles actions selon vos besoins.
Scripts	Le script importé de FireEye doit être fourni pour le type de système d’exploitation sélectionné. Un seul script peut être ajouté à chaque type de système d’exploitation.

Cliquer sur Envoyer.

Déclenchement des acquisitions de données à partir d’un incident de sécurité

Les actions supplémentaires créées peuvent être exécutées via le lien connexe appelé Exécuter une ou plusieurs actions supplémentaires sur le point de terminaison sur l’incident de sécurité.

Remarque :

Autoriser les modifications avant l’acquisition La fonctionnalité FireEye n’est pas prise en charge pour les actions supplémentaires sur le point de terminaison.