Criar um novo perfil de capacidade para a integração do endpoint do FireEye

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Crie um perfil e selecione os FireEye HX recursos que você deseja que o perfil execute.

    Antes de Iniciar

    Função necessária: administrador de incidentes de segurança do NowPlatform (sn_si.admin)

    Por Que e Quando Desempenhar Esta Tarefa

    Os perfis são criados para agrupar capacidades e ajudariam os analistas a executar a investigação/correção com facilidade.

    A seguir está a lista de capacidades que você pode adicionar ao(s) perfil(is):
    1. Obter detalhes do host
    2. Obter usuários conectados
    3. Obter estatísticas de rede
    4. Obter processos em execução
    5. Obter serviços em execução
    6. Obter arquivo
    7. Isolar host
    8. Remover isolamento

    Você não pode agrupar as capacidades Obter arquivo, Isolar host e Remover isolamento de host com outras capacidades ao criar um perfil. Os perfis para eles devem ser criados individualmente. Por outro lado, Obter detalhes do sistema, Obter usuários conectados, Obter estatísticas de rede, Obter processos em execução e Obter serviços em execução podem ser combinados. Você pode criar perfis individualmente ou agrupando-os no todo ou em partes de acordo com sua necessidade. Depois que uma capacidade é incluída em um perfil, ela não pode ser incluída em outro perfil.

    Para criar um novo perfil de capacidade, siga estas etapas:

    Procedimento

    1. Navegar até Integração do FireEye > Perfis de capacidade do FireEye.
      A lista de perfis de capacidade é exibida.
    2. Clicar Novo.
    3. No formulário, preencha os campos.
      Nome Nome do perfil de capacidade FireEye HX. Este nome ajuda a identificar o tipo de perfil e descrevê-lo.
      Descrição Informações adicionais sobre o perfil que descrevem melhor o perfil.
      Origem Nome da origem FireEye HX. Somente origens configuradas estão disponíveis na lista de seleção.
      Capacidades do FireEye HX. Capacidades do perfil FireEye HX. Selecione os recursos desejados para este perfil na coluna Disponível e mova-os para a coluna Selecionado.
      Ordem Prioridade de fluxo. O padrão é 100. O valor deste campo indica a ordem em que os fluxos são executados quando dois ou mais perfis compartilham condições de acionamento.

      O fluxo com o número mais baixo tem a prioridade mais alta.

      Para definir a ordem de operação, insira um valor. Por exemplo, 100, 200, 300, 400.
      Ativo Isso indica que o perfil está ativo. Quando o perfil está ativo, ele é acionado automaticamente quando um incidente de segurança é criado que corresponde às condições de filtragem que você especificou na configuração.
      A figura a seguir é um exemplo de um formulário preenchido para detalhes de perfil com a capacidade Obter detalhes do host.
    4. Clicar Avançar para continuar para Configuração de perfil.
      Perfil de capacidade
      Nota:
      As capacidades Isolar host, Remover isolamento de host e Obter arquivo não podem ser combinadas com outras capacidades.

    O que Fazer Depois

    A próxima etapa é configurar seu perfil. Antes de definir as configurações do perfil, talvez você prefira revisar os conceitos de configuração de perfis e condições de acionamento. Para obter mais informações, consulte Entenda como as condições do gatilho funcionam com um item de configuração para um perfil.