엔드포인트에 대한 FireEye 추가 작업

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기5분

    • FireEye 통합은 Gold Standard 작업 이외의 추가 작업 실행을 지원합니다.

    이러한 작업은 분류 취득 및 데이터 취득으로 구성됩니다. 기본적으로 두 가지 데이터 수집이 지원됩니다.
    • 포괄적인 조사 세부 정보 스크립트
    • 표준 조사 상세 정보 스크립트

    또한 Triage Acquisition도 기본적으로 지원됩니다. 이 세 가지는 모두 기본적으로 원본과 함께 만들어집니다. 고객은 또한 자신의 작업(예: FireEye 추가 작업 모듈에서 데이터 수집)을 만들 수 있습니다. [1] FireEye 추가 작업에 지원되는 최대 파일 크기는 1024이며, 이 값은 다음을 변경하여 구성할 수 있습니다. com.glide.attachment.max_크기로 설정되며, 기본 시간 제한은 FireEye 기본 설정 페이지에서 구성할 수 있는 120분입니다.

    포괄적인 조사 세부 정보 스크립트

    엔드포인트에서 모든 포렌식 및 조사 아티팩트를 수집할 수 있지만 비용이 엄청나게 많이 드는 옵션입니다. 이 구성은 해당 엔드포인트에서 데이터를 수집하기 위한 창이 하나만 있고 나중에 더 많은 데이터를 수집할 수 있는 기능을 보장할 수 없는 경우에 이상적입니다. 따라서 이 작업은 주의해서 사용해야 합니다.

    표준 조사 상세 정보 스크립트

    엔드포인트에서 포렌식 및 조사 아티팩트를 수집하는 가장 일반적인 옵션을 활성화합니다. 엔드포인트가 손상되었을 수 있다는 의심이 들고 해당 엔드포인트에 대한 심층 분석을 수행해야 하는 경우 기본 응답 도구입니다. 가장 관련성이 높고 가치 있는 데이터를 수집하는 동시에 추가 조사에서 필요한 것으로 입증되면 나중에 수집할 수 있는 값비싼 옵션을 피하는 것 사이의 균형을 맞추는 것을 목표로 합니다.

    환자 분류 취득

    분류 수집에는 URL 다운로드 기록, 파일 다운로드 기록, 프로세스 및 포트 목록, 표준 시스템 정보와 같은 추가 포렌식 감사 정보뿐만 아니라 전환 확인 캐시 내의 정보도 포함됩니다. 비정상적인 네트워크 트래픽이 감지되고 엔드포인트 작업에 대한 가시성을 높이려는 경우 이러한 정보를 검사할 수 있습니다.

    FireEye에서 데이터 수집 스크립트 유지 관리

    데이터 수집 요청(Live Response 요청이라고도 함)을 사용하면 실행 중인 단일 엔드포인트에서 필요한 모든 데이터를 수집할 수 있습니다. FireEye의 데이터 수집 스크립트 페이지를 사용하여 데이터 수집 요청에 사용되는 데이터 수집 스크립트를 생성, 편집, 복사 및 삭제할 수 있습니다.

    FireEye의 데이터 수집 스크립트 페이지에 액세스

    Data Acquisition Scripts 페이지에 액세스하려면:
    1. Endpoint Security 웹 사용자 인터페이스로 이동합니다.
    2. Admin 메뉴에서 Data Acquisition Scripts를 선택합니다.

    FireEye에서 스크립트 생성

    데이터 수집 스크립트를 만들려면:
    1. 선택 데이터 수집 스크립트 > 관리자 Endpoint Security 웹 사용자 인터페이스의 메뉴입니다.
    2. 먼저 스크립트 작성레이블이 표시됩니다.
    3. 에 새 스크립트의 이름을 입력합니다. 스크립트 이름 필드
    4. 필요한 경우 스크립트에 대한 설명을 입력합니다.
    5. 스크립트가 적용되는 운영 체제를 선택합니다. 스크립트 만들기 대화 상자에서는 단일 운영 체제만 선택할 수 있습니다.
    6. 먼저 작성 스크립트 정의를 시작합니다.
    7. 에서 획득 데이터 유형을 선택합니다. 취득 유형 추가드롭다운 상자를 열고 추가레이블이 표시됩니다. 요청한 획득 유형에 대한 옵션이 스크립트 목록의 오른쪽에 나타납니다.
    8. 취득 유형 옵션에 대한 값을 제공하거나 이미 선택된 기본값을 사용합니다. 웹 UI는 사용자에게 경고하거나 사양에서 탭, 공백 또는 원치 않는 문자(예: \n)를 제거하지 않습니다.
    9. 이전 2단계를 반복하여 데이터 수집 스크립트에 대한 추가 데이터를 요청합니다. 일부 획득 데이터 유형은 스크립트에 한 번만 사용할 수 있는 반면, 다른 데이터 유형은 두 번 이상 지정할 수 있습니다. 취득 유형을 스크립트에 추가한 후 취득 유형 목록에서 사용할 수 있는 취득 유형 목록 취득 유형 추가드롭다운 상자가 적절하게 조정됩니다.
    10. 스크립트에서 취득 데이터 유형을 제거하려면 페이지 왼쪽의 취득 탭에서 x 아이콘( )을 클릭합니다.
    주:
    이 통합은 다음을 지원하지 않습니다. 가져오기 전에 편집 허용 스크립트를 생성하는 동안 옵션을 선택합니다. 따라서 확인란이 선택 취소되어 있는지 확인합니다.

    FireEye에서 스크립트 익스포트

    데이터 수집 스크립트를 JSON 파일로 내보낼 수 있습니다. 데이터 수집 스크립트를 내보내려면:
    1. 선택 데이터 수집 스크립트 > 관리자 Endpoint Security 웹 사용자 인터페이스의.
    2. Admin 메뉴에서 Data Acquisition Scripts를 선택합니다.
    3. 페이지 왼쪽에서 내보낼 스크립트를 선택합니다.
    4. 선택 동작 > 스크립트 익스포트레이블이 표시됩니다.
    5. JSON 파일이 컴퓨터에 다운로드됩니다. JSON 파일 이름에는 운영 체제가 포함되어 있으므로 어떤 스크립트가 어떤 운영 체제를 위한 것인지 쉽게 확인할 수 있습니다.

    Now Platform에서 새 데이터 수집 작업 생성

    새 작업을 만들려면 다음 단계를 수행합니다.
    1. 다음으로 이동 FireEye 통합 > FireEye 추가 작업레이블이 표시됩니다. FireEye 추가 작업 목록이 표시됩니다.
    2. 먼저 신규레이블이 표시됩니다. 새 작업에 대한 양식이 표시됩니다.
    3. 양식을 작성합니다.
      작업 이름 수행되는 FireEye 작업의 이름입니다. 이 이름은 작업 유형을 식별하고 설명하는 데 도움이 됩니다.
      취득 취득은 분석할 데이터를 얻습니다. 이 필드는 읽기 전용 필드이며 기본값은 데이터 수집입니다.
      소스 FireEye 소스의 이름입니다. 구성된 소스만 선택 목록에서 사용할 수 있습니다.
      역량 읽기 전용 필드이며 추가 작업 실행 기능으로 채워집니다.
      취득 유형 획득 및 분석해야 하는 획득 작업의 유형입니다.
      활성 이는 작업이 활성 상태임을 나타냅니다.
      승인 필요

      승인 필요 옵션을 활성화하면 양식에서 승인자 필드를 사용할 수 있습니다. 요청을 제출한 후에는 요청을 완료하기 위해 그룹의 승인이 필요합니다.
      태그 표시 스크립트를 추가하기 위한 Windows, Mac, Linux 등의 운영 체제 유형입니다.
      주:
      현재 한 가지 유형의 OS만 지원됩니다. 운영 체제당 하나의 작업을 만들 수 있습니다. 다른 운영 체제의 경우 필요에 따라 새 작업을 만듭니다.
      스크립트 선택한 OS 유형에 대해 FireEye에서 임포트한 스크립트를 제공해야 합니다. 각 OS 유형에는 하나의 스크립트만 추가할 수 있습니다.
    4. 먼저 제출레이블이 표시됩니다.

    보안 인시던트에서 데이터 수집 트리거

    생성된 추가 작업은 호출된 관련 링크를 통해 실행할 수 있습니다. 엔드포인트에서 추가 작업 실행 보안 인시던트에 대해 설명합니다.
    주:
    가져오기 전에 편집 허용 FireEye 기능은 엔드포인트의 추가 작업에 대해 지원되지 않습니다.