Como definir configurações de carimbo de data/hora para aquisição de triagem

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Configure e verifique as configurações de carimbo de data/hora antes do procedimento de instalação.

    Antes de Iniciar

    Função necessária: administrador de incidentes do NowPlatform Security (sn_si.admin)

    Antes de instalar a aplicação FireEye, existem alguns pré-requisitos que precisam ser realizados no FireEye.

    A aquisição de triagem pode ser solicitada com uma entrada do campo "Em torno do carimbo de data/hora" ou do campo "Padrão". Informações de solicitações de carimbo de data/hora próximas coletadas durante um período especificado antes do carimbo de data/hora até um período especificado após o carimbo de data/hora. O carimbo de data/hora é a hora em que o evento que gerou o alerta ocorreu. Se você selecionar Padrão, o dispositivo Endpoint Security solicitará informações do host para todos os dados em torno de um evento.

    Quando um usuário do Endpoint Security solicita uma coleta de triagem com base em uma data e hora específicas, o agente retorna informações para uma janela de tempo especificada antes e depois do alerta. As configurações de carimbo de data/hora controlam a duração da janela para a coleta de triagem. As configurações de carimbo de data/hora se aplicam somente a eventos de URL de agente (Eventos de monitor de URL) e eventos de chave de registro (Eventos de chave de registro).

    Você pode usar a guia Configurações de carimbo de data/hora para especificar o período de tempo antes e depois do carimbo de data/hora durante o qual as informações são coletadas. As configurações de carimbo de data/hora podem variar de 0 a 86400 segundos. O padrão para ambas as configurações é 600 segundos.

    Você pode usar a guia Configurações de carimbo de data/hora na página Configurações de triagem automática para especificar o período de tempo antes e depois do carimbo de data/hora durante o qual as informações são coletadas. O carimbo de data/hora é a hora em que o evento que acionou o alerta ocorreu.

    Procedimento

    1. Navegar até IU da web de segurança de endpoint.
    2. Selecionar Administrador > Configurações de triagem.
    3. Clicar Configurações de carimbo de data/hora guia em Configurações de triagem automática página.
    4. Especifique o período de tempo antes e depois do carimbo de data/hora para o qual as informações são necessárias.
    5. Insira o número de segundos antes do carimbo de data/hora especificado para o qual as informações são necessárias.
    6. Insira o número de segundos após o carimbo de data/hora para o qual as informações são necessárias.
    7. Clicar Salvar.
      Nota:
      Você pode mudar todos os valores da página de volta para as configurações padrão clicando em Redefinir para Padrõese clicando em Salvar.
      • Área do espaço de aquisição: a página Aquisições mostra quanto espaço em disco resta para as aquisições.
      • Configuração de limites de utilização de disco para aquisições:
        • Triagens, aquisições de arquivos e aquisições de dados podem se acumular ao longo do tempo e usar uma quantidade crescente de espaço em disco. Para controlar isso, você pode alocar uma quantidade definida de espaço em disco para eles. Dez por cento do espaço em disco especificado é reservado para aquisições de triagem automáticas. Quando o espaço total de aquisição alocado é excedido, as triagens automáticas mais antigas são excluídas.
        • Quando o tamanho total do disco de aquisições concluídas excede um limite especificado, o dispositivo Endpoint Security exclui as aquisições concluídas mais antigas até que espaço em disco suficiente seja liberado para colocar o total abaixo do limite especificado. As aquisições que ainda não foram concluídas não são afetadas.
        • O dispositivo Endpoint Security excluirá automaticamente as aquisições se um Administrador, Analista ou Investigador usar a IU da Web do Endpoint Security para excluir manualmente o agente associado.
        Para definir limites de utilização de disco para aquisições completas usando a IU da Web:
      • Navegue até Endpoint Security Web UI.
      • Selecionar Limites de utilização de disco do Administrador menu.
      • No Limite de espaço de aquisição área, especifique a quantidade máxima de espaço em disco (em GB) que pode ser usada para armazenar triagem, arquivos e aquisições de dados. Os valores e padrões válidos variam de acordo com o modelo do dispositivo Endpoint Security. Os valores apropriados para o seu modelo são mostrados na página Limites de utilização de disco.
      • Clicar Salvar.
      Nota:
      Todas as configurações mencionadas são respeitadas e, em caso de falhas ou erros, a Now Platform apenas retorna esses erros.