FireEye のエンドポイントでの追加アクション

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • FireEye 統合は、ゴールドスタンダードのアクション以外に追加アクションの実行をサポートしています。

    これらのアクションは、トリアージ取得とデータ取得で構成されます。デフォルト設定では、次の 2 つのデータ取得がサポートされています。
    • 包括的調査の詳細スクリプト (Comprehensive Investigative Details Script)
    • 標準調査の詳細スクリプト (Standard Investigative Details Script)

    さらに、トリアージ取得も初期設定でサポートされています。これら 3 つはすべて、デフォルトでソースとともに作成されます。顧客は、独自のアクション (FireEye 追加アクションモジュールからのデータ取得) を作成することもできます。[1] FireEye 追加アクションでサポートされている最大ファイルサイズは 1024 で、この値は次のように変更することで構成できます com.glide.attachment.max_size、およびデフォルトのタイムアウトは 120 分で、[FireEye のデフォルト設定] ページから構成できます。

    包括的調査の詳細スクリプト (Comprehensive Investigative Details Script)

    エンドポイントからすべてのフォレンジックアーティファクトおよび調査アーティファクトを収集できるようにしますが、これは非常にコストがかかるオプションです。この構成は、問題のエンドポイントからデータを収集するためのウィンドウが 1 つしかなく、後でより多くのデータを取得できることが保証されていない状況に最適です。したがって、このアクションは注意して使用してください。

    標準調査の詳細スクリプト (Standard Investigative Details Script)

    エンドポイントからフォレンジックアーティファクトおよび調査アーティファクトを収集するための最も一般的なオプションを有効にします。エンドポイントが侵害されている可能性があり、そのエンドポイントの詳細分析を実行する必要がある場合のプライマリ応答ツールとして使用されます。最も関連性が高く価値のあるデータを収集することと、さらに調査して必要なことが判明した場合は後で収集する可能性があるというコストのかかるオプションを回避することとのバランスを取ることを目的としています。

    トリアージ取得

    トリアージ収集には、ルックバックキャッシュ内の情報と、URL ダウンロード履歴、ファイルダウンロード履歴、プロセスとポートのリスト、標準システム情報などの追加のフォレンジック監査情報が含まれています。異常なネットワークトラフィックが検出され、エンドポイントアクションの可視性を高める必要がある場合に、このような情報を調べる場合があります。

    FireEye でのデータ取得スクリプトの管理

    データ取得要求 (ライブ応答要求とも呼ばれます) を使用すると、実行中の単一エンドポイントから必要なデータを取得できます。FireEye の [データ取得スクリプト (Data Acquisition Scripts )] ページを使用すると、データ取得要求に使用するデータ取得スクリプトを作成、編集、コピー、削除できます。

    FireEye の [データ取得スクリプト (Data Acquisition Scripts)] ページへのアクセス

    [データ取得スクリプト (Data Acquisition Scripts)] ページにアクセスするには:
    1. [エンドポイントセキュリティ] Web ユーザーインターフェイスに移動します。
    2. [管理] メニューの [データ取得スクリプト (Data Acquisition Scripts)] を選択します。

    FireEye でのスクリプトの作成

    データ取得スクリプトを作成するには:
    1. 選択 データ取得スクリプト > 管理者 メニューをクリックします。
    2. クリック スクリプトを作成.
    3. 新しいスクリプトの名前を入力します。 スクリプト名 フィールドに入力または変更します。
    4. 必要に応じて、スクリプトの説明を入力します。
    5. スクリプトを適用するオペレーティングシステムを選択します。[スクリプトを作成 (Create Script)] ダイアログで選択できるオペレーティングシステムは 1 つだけです。
    6. クリック 作成 スクリプト定義を開始します。
    7. で取得データタイプを選択します 取得タイプの追加ドロップダウンボックスをクリックし、 追加. 要求した取得タイプのオプションがスクリプトリストの右側に表示されます。
    8. 取得タイプオプションの値を指定するか、既に選択されているデフォルト値を使用します。Web UI は、指定内のタブ、スペース、または不要な文字 (\n など) を警告したり削除したりしません。
    9. 前の 2 つのステップを繰り返して、データ取得スクリプトの追加データを要求します。取得データタイプには、スクリプトで 1 回のみ使用できるものもあれば、複数回指定できるものもあります。取得タイプをスクリプトに追加した後、で使用可能な取得タイプのリスト 取得タイプの追加ドロップダウンボックスは適切に調整されます。
    10. スクリプトから取得データタイプを削除するには、ページの左側にある [取得] タブで [x] アイコン ( ) をクリックします。
    注:
    この統合はサポートしていません 取得前に編集を許可 スクリプト作成時のオプション。したがって、チェックボックスがオフになっていることを確認してください。

    FireEye からのスクリプトのエクスポート

    データ取得スクリプトを JSON ファイルにエクスポートできます。データ取得スクリプトをエクスポートするには:
    1. 選択 データ取得スクリプト > 管理者 Endpoint Security Web ユーザーインターフェイスの
    2. [管理] メニューの [データ取得スクリプト (Data Acquisition Scripts)] を選択します。
    3. ページの左側で、エクスポートするスクリプトを選択します。
    4. 選択 アクション > スクリプトをエクスポート.
    5. JSON ファイルがコンピューターにダウンロードされます。JSON ファイル名にはオペレーティングシステムが含まれているため、どのスクリプトがどのオペレーティングシステム用かを簡単に判断できます。

    Now Platform での新しいデータ取得アクションの作成

    新規アクションを作成するには、次のステップに従います。
    1. 移動先 FireEye 統合 > FireEye の追加アクション. [FireEye の他のアクション] リストが表示されます。
    2. クリック 新規. 新しいアクションのフォームが表示されます。
    3. フォームに記入します。
      アクション名 実行される FireEye アクションの名前。この名前は、アクションタイプを識別して説明するのに役立ちます。
      取得 取得では、分析するデータを取得します。これは読み取り専用フィールドで、デフォルトは [データ取得] です。
      ソース FireEye ソースの名前。選択リストからは、設定されたソースのみを使用できます。
      機能 これは読み取り専用フィールドであり、[他のアクションを実行] 機能が設定されています。
      取得タイプ 取得して分析する必要がある取得アクションのタイプ。
      アクティブ これは、アクションがアクティブであることを示します。
      承認が必要

      [承認が必要] オプションを有効にすると、フォームで [承認者] フィールドが使用可能になります。要求が送信された後、要求を完了するにはグループからの承認が必要です。
      タグを表示 スクリプトを追加するための Windows、Mac、Linux などのオペレーティングシステムのタイプ。
      注:
      1 つのタイプの OS のみが現在サポートされています。オペレーティングシステムごとに 1 つのアクションを作成できます。他のオペレーティングシステムの場合は、必要に応じて新しいアクションを作成します。
      スクリプト 選択した OS タイプに対して、FireEye からインポートされたスクリプトを指定する必要があります。各 OS タイプに追加できるスクリプトは 1 つだけです。
    4. クリック 送信.

    セキュリティインシデントからのデータ取得のトリガー

    作成した追加アクションは、次の名前の関連リンクから実行できます。 エンドポイントで他のアクションを実行 示しています
    注:
    取得前に編集を許可 FireEye 機能は、[エンドポイントでの追加アクション] ではサポートされていません。