Capacidade de obtenção de arquivo do FireEye

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • As solicitações de aquisição de arquivo instruem um Endpoint Security Agent a obter um arquivo do endpoint do host. As aquisições de arquivos são usadas para análise estática ou dinâmica de compromissos potenciais ou verificados, bem como para retenção de evidências durante investigações de ameaças internas. A capacidade Obter arquivo deve ser criada como um perfil separado.

    Antes de Iniciar

    Função necessária: administrador

    Acionar Obter perfil de arquivo e criar um perfil de recurso FireEye HX com Obter arquivo capacidade.

    Procedimento

    1. Navegar até Incidentes de segurança > Mostrar Todos os Incidentes.
    2. Selecione o incidente de segurança que você deseja revisar.
    3. Clicar Executar perfil(is) de EDRna seção de links relacionados.
    4. Procure e selecione Obter perfil de arquivo na lista de perfis disponíveis.
    5. Forneça o Nome de arquivo e Caminho do arquivo.
      Nota:
      Insira o nome do arquivo para o qual você deseja adquirir. Especifique um nome de caminho preciso ou outra variável de ambiente do Windows baseada em caminho apropriada. Você deve especificar a letra da unidade ou os nomes do caminho. Endpoints diferentes podem ter mapeamentos de unidade diferentes. Se você especificar explicitamente um nome de pasta, poderá terminar o caminho com uma barra invertida. No entanto, a barra invertida final não é obrigatória.
    6. Clicar Enviar.
    7. Revise as anotações de trabalho e a seção de atividades.
    8. Exiba os marcadores e verifique os resultados no Obter arquivo lista relacionada.
      Nota:
      O perfil Obter arquivo agora é acionado manualmente.

      Para revisar uma aquisição de arquivo baixada:

      • Abra o arquivo .zip de aquisição.
      • Insira a senha necessária para abrir o arquivo. A senha pode ser exibida passando o mouse sobre o link de download no console FireEye HX. Siga as etapas abaixo para exibir a senha:
        • Faça login no console do FireEye HX.
        • Navegar até Aquisições e filtre por Tipo de aquisição - Arquivo.
        • Selecione o registro desejado.
          Nota:
          Você poderá ver os detalhes do arquivo adquirido na guia à direita.
        • Passe o mouse sobre Baixar link disponível na parte superior para obter a senha.
        • Abra e revise os arquivos dentro do arquivo .zip usando qualquer editor de texto ou XML.
          Nota:
          • É recomendável que o arquivo recuperado seja adicionado como um observável manualmente, para que ele possa ser rastreado como uma evidência em relação ao incidente de segurança. Isso também ajudará a exibir os arquivos no futuro, quando a senha for esquecida ou alterada.
          • O tamanho máximo de arquivo compatível com a ação Obter arquivo é de 1024 MB e esse valor pode ser configurado alterando com.glide.attachment.max_sizee o tempo limite padrão é de 60 minutos, que pode ser configurado na página FireEye HX Configurações padrão.
          • Obter arquivo também pode ser acionado na lista relacionada de itens de configuração.