FireEye の [ファイルを取得] 機能

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • ファイル取得要求は、ホストエンドポイントからファイルを取得するように Endpoint Security エージェントに指示します。ファイル取得は、潜在的な侵害または確認済みの侵害の静的または動的な分析、および内部の脅威調査中に証拠保持のために使用されます。[ファイルを取得] 機能は個別のプロファイルとして作成する必要があります。

    始める前に

    必要なロール:admin

    ファイルプロファイルの取得と FireEye HX 機能プロファイルの作成のトリガー ファイルを取得 要約機能を持たせたい場合も

    手順

    1. 移動先 セキュリティインシデント > すべてのインシデントを表示.
    2. 確認するセキュリティインシデントを選択します。
    3. クリック EDR プロファイルを実行「関連リンク」セクションにあります
    4. 利用可能なプロファイルのリストから [ファイルを取得] プロファイルを参照して選択します。
    5. 次を指定します。 ファイル名 および ファイルパス.
      注:
      取得するファイルの名前を入力します。正確なパス名、または別の適切なパスベースの Windows 環境変数を指定します。ドライブ文字またはパス名を指定する必要があります。エンドポイントが異なると、ドライブマッピングが異なる場合があります。フォルダー名を明示的に指定する場合は、パスをバックスラッシュで終了できます。ただし、最後のバックスラッシュは必須ではありません。
    6. クリック 送信.
    7. 作業メモセクションとアクティビティセクションを確認します。
    8. タグを表示し、 ファイルを取得 関連付けられます
      注:
      [ファイルを取得] プロファイルが手動でトリガーされるようになりました。
      [ファイルを取得] 関連リスト

      ダウンロードしたファイルの取得を確認するには:

      • ファイル取得の .zip ファイルを開きます。
      • ファイルを開くために必要なパスワードを入力します。パスワードは、FireEye HX コンソールのダウンロードリンクにカーソルを合わせると表示できます。パスワードを表示するには、以下の手順に従います。
        • FireEye HX コンソールにログインします。
        • 移動先 取得 をクリックし、[Acquisition type (取得タイプ)] - [File (ファイル)] でフィルタリングします。
        • 目的のレコードを選択します。
          注:
          取得したファイルの詳細が右側のタブに表示されます。
        • 次にカーソルを合わせます ダウンロード 上部にあるリンクをクリックしてパスワードを取得できます。
        • テキストエディターまたは XML エディターを使用して、.zip ファイル内のファイルを開いて確認します。
          注:
          • 取得されたファイルは、セキュリティインシデントに対する証拠として追跡できるように、観測事象として手動で追加することをお勧めします。これは、将来、パスワードを忘れたときや変更したときにファイルを表示するのにも役立ちます。
          • [ファイルを取得] アクションでサポートされている最大ファイルサイズは 1024 MB で、この値は com.glide.attachment.max_sizeで、デフォルトのタイムアウトは 60 分で、[ FireEye HX デフォルト設定] ページで設定できます。
            ファイルの更新と削除のオプションを取得します。添付ファイルの名前変更とダウンロードオプション。
          • [ファイルを取得] は、構成アイテム関連リストからトリガーすることもできます。
            ファイルの更新と削除のオプションを取得します。添付ファイルの名前変更とダウンロードオプション。