Configurar perfis e incidentes de segurança para a integração FireEye HX

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Depois de criar um perfil e selecionar os recursos FireEye HX que você deseja que o perfil execute, defina as configurações para que o perfil possa ser invocado somente sob as condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Selecione um campo de entrada alternativo para o campo Item de configuração (IC), se necessário, e defina as condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atende às condições do gatilho for criado.
    Nota:
    Você pode navegar até o Configuração de perfil página somente depois de inserir o Detalhes do perfil.

    Procedimento

    1. Navegar até Integração do FireEye > Perfis de capacidade do FireEye.
    2. Clicar Avançar em Detalhes do perfil página depois de concluir a seção de detalhes do perfil.
    3. Revise e configure as seguintes seções:
      • Definir critérios de incidente (automação): define as condições de incidente de segurança que acionariam automaticamente os recursos FireEye HX para o perfil. Se você não selecionar o Definir critério de incidente Com a opção, o perfil e os recursos subjacentes podem ser invocados manualmente a partir do incidente de segurança.
        • Selecionar Definir critério de incidente Opção para acionar automaticamente FireEye HX recursos no perfil.
        • No Condições do filtro, selecione o campo obrigatório.
        • Você pode adicionar Novos critérios e também definem a condição OR ou AND.
          Nota:
          Isolar Host, Remover Isolamento de Host, Obter Arquivo não podem ser acionados automaticamente.
      • Configuração adicional: quando o campo Item de configuração (IC) não estiver preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo no incidente de segurança para consultar as FireEye HX APIs.
      • Marcadores: opcionalmente, você pode marcar os incidentes de segurança com os marcadores de perfil iniciado FireEye HX, perfil concluído e perfil com falha.

        Selecione o Marcador de exibição caixa de seleção para habilitar a marcação de incidentes de segurança, o nome do perfil é prefixado ao habilitar a marcação. Por padrão, esta opção está desabilitada para todos os perfis.

      • Aprovações: selecione o Requer Aprovação caixa de seleção para fornecer um nível extra de controle ao usar os recursos FireEye HX para isolar máquinas host, restaurá-las na rede e para obter os arquivos.

        A opção de aprovações na configuração do perfil aparece somente para os recursos Isolar Host, Remover Isolamento de Host e Obter Arquivo.

    4. Clique em Concluído.
    5. Verifique as condições do gatilho FireEye HX.