FireEye – Fähigkeit „Datei abrufen“

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Dateierfassungsanforderungen weisen einen Endpoint Security Agent an, eine Datei von seinem Host-Endpunkt abzurufen. Dateibeschaffungen werden für die statische oder dynamische Analyse potenzieller oder verifizierter Gefährdungen sowie für die Aufbewahrung von Nachweisen bei Untersuchungen interner Bedrohungen verwendet. Die Fähigkeit „Datei abrufen“ muss als separates Profil erstellt werden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Auslösen von Dateiprofil abrufen und Fähigkeitsprofil FireEye HX erstellen mit Datei abrufen -Fähigkeit.

    Prozedur

    1. Navigieren zu Security Incidents > Alle Incidents anzeigen.
    2. Wählen Sie den Security Incident aus, den Sie überprüfen möchten.
    3. Klicken EDR-Profil(e) ausführenim Abschnitt „Zugehörige Links“.
    4. Durchsuchen und Dateiprofil abrufen aus der Liste der verfügbaren Profile auswählen.
    5. Geben Sie die an Dateiname und Dateipfad.
      Hinweis:
      Geben Sie den Namen der Datei ein, für die Sie erfassen möchten. Geben Sie einen genauen Pfadnamen oder eine andere geeignete pfadbasierte Windows-Umgebungsvariable an. Sie müssen den Laufwerksbuchstaben oder die Pfadnamen angeben. Verschiedene Endpunkte können unterschiedliche Laufwerkszuordnungen haben. Wenn Sie explizit einen Ordnernamen angeben, können Sie den Pfad mit einem umgekehrten Schrägstrich beenden. Der letzte umgekehrte Schrägstrich ist jedoch nicht obligatorisch.
    6. Klicken Absenden.
    7. Überprüfen Sie den Abschnitt „Arbeitsnotizen und Aktivitäten“.
    8. Zeigen Sie die Tags an, und überprüfen Sie die Ergebnisse im Datei abrufen Zugehörige Liste.
      Hinweis:
      Das Profil „Datei abrufen“ wird jetzt manuell ausgelöst.

      So überprüfen Sie die Beschaffung einer heruntergeladenen Datei:

      • Öffnen Sie die ZIP-Datei für die Dateibeschaffung.
      • Geben Sie das zum Öffnen der Datei erforderliche Passwort ein. Das Passwort kann angezeigt werden, indem der Mauszeiger über den Download-Link in der FireEye HX -Konsole bewegt wird. Führen Sie die folgenden Schritte aus, um das Passwort anzuzeigen:
        • Melden Sie sich bei der FireEye HX-Konsole an.
        • Navigieren zu Akquisitionen und filtern Sie nach Beschaffungstyp – Datei.
        • Wählen Sie den gewünschten Datensatz aus.
          Hinweis:
          Sie können die Details der erfassten Datei auf der rechten Registerkarte anzeigen.
        • Bewegen Sie den Mauszeiger über das Herunterladen Link oben verfügbar, um das Passwort zu erhalten.
        • Öffnen und überprüfen Sie die Dateien in der ZIP-Datei mit einem beliebigen Text- oder XML-Editor.
          Hinweis:
          • Es wird empfohlen, die abgerufene Datei manuell als erkennbares Element hinzuzufügen, damit sie als Beweis für den Security Incident nachverfolgt werden kann. Dies hilft auch, die Dateien in Zukunft anzuzeigen, wenn das Passwort vergessen oder geändert wird.
          • Die maximale Dateigröße, die für die Aktion „Datei abrufen“ unterstützt wird, beträgt 1024 MB. Dieser Wert kann durch Ändern von konfiguriert werden com.glide.attachment.max_size, und die Standardzeitüberschreitung beträgt 60 Minuten und kann auf der Seite FireEye HX „ Standardeinstellungen“ konfiguriert werden.
          • „Datei abrufen“ kann auch über die zugehörige Liste „Configuration Item“ ausgelöst werden.