Ações adicionais do FireEye no endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 5 min. de leitura

    • A integração do FireEye oferece suporte à execução de ações adicionais além das ações padrão ouro.

    Essas ações são compostas por Aquisição de triagem e Aquisições de dados. Duas aquisições de dados prontas para uso são compatíveis:
    • Script de detalhes investigativos abrangentes
    • Script de detalhes investigativos padrão

    Além disso, a aquisição por triagem também é compatível com o pronto para uso. Todos esses três são criados por padrão junto com a origem. Os clientes também podem criar suas próprias ações, ou seja, aquisições de dados do módulo de ações adicionais do FireEye.[1] O tamanho máximo de arquivo compatível com as ações adicionais do FireEye é 1024 e esse valor pode ser configurado alterando com.glide.attachment.max_size, e o tempo limite padrão é de 120 minutos, que pode ser configurado na página de configuração padrão do FireEye.

    Script de detalhes investigativos abrangentes

    Permite a coleta de todos os artefatos forenses e investigativos do endpoint, mas é a opção mais cara. Essa configuração é ideal para situações em que haverá apenas uma janela para coletar dados do endpoint em questão e a capacidade de adquirir mais dados não pode ser garantida posteriormente. Portanto, use esta ação com cuidado.

    Script de detalhes investigativos padrão

    Habilita as opções mais comuns para coletar artefatos forenses e investigativos de um endpoint. Deve ser a ferramenta de resposta primária quando você suspeita que um endpoint pode estar comprometido e precisa executar uma análise profunda desse endpoint. Tem como objetivo encontrar um equilíbrio entre a coleta dos dados mais relevantes e valiosos e, ao mesmo tempo, evitar as opções caras que podem ser coletadas posteriormente, quando uma investigação mais aprofundada for necessária.

    Aquisição de triagem

    As coleções de triagem contêm informações de dentro do cache de lookback, bem como informações adicionais de auditoria forense, como histórico de download de URL, histórico de download de arquivo, listagens de processos e portas e informações do sistema padrão. Você pode querer examinar essas informações quando o tráfego de rede anômalo for detectado e quiser mais visibilidade sobre as ações do endpoint.

    Manutenção de scripts de aquisição de dados no FireEye

    As solicitações de aquisição de dados (às vezes chamadas de solicitações de resposta em tempo real) permitem que você adquira todos os dados necessários de um único endpoint em execução. Usando a página Scripts de aquisição de dados no FireEye, você pode criar, editar, copiar e excluir os scripts de aquisição de dados usados para solicitações de aquisição de dados.

    Como acessar a página de scripts de aquisição de dados no FireEye

    Para acessar a página Scripts de aquisição de dados:
    1. Navegue até Endpoint Security interface do usuário da web.
    2. Selecione Scripts de aquisição de dados no menu do administrador.

    Como criar um script no FireEye

    Para criar um script de aquisição de dados:
    1. Selecionar Scripts de aquisição de dados > Administrador menu da interface do usuário da Web do Endpoint Security.
    2. Clicar Criar script.
    3. Insira um nome para o novo script no Nome do script campo.
    4. Opcionalmente, insira uma descrição do script.
    5. Selecione o sistema operacional ao qual o script se aplica. Você só pode selecionar um único sistema operacional na caixa de diálogo Criar script.
    6. Clicar Criar para iniciar a definição do script.
    7. Selecione um tipo de dados de aquisição no Adicionar um tipo de aquisiçãocaixa suspensa e clique em Adicionar. As opções para o tipo de aquisição solicitado aparecem à direita da lista de scripts.
    8. Forneça valores para as opções de tipo de aquisição ou use os valores padrão que já estão selecionados. A IU da Web não avisa ou remove tabulações, espaços ou caracteres indesejados (como \n) em suas especificações.
    9. Repita as duas etapas anteriores para solicitar dados adicionais para o script de aquisição de dados. Alguns tipos de dados de aquisição estão disponíveis apenas uma vez para um script, enquanto outros podem ser especificados mais de uma vez. Depois de adicionar um tipo de aquisição a um script, a lista de tipos de aquisição disponíveis no Adicionar um tipo de aquisiçãoA caixa suspensa se ajusta corretamente.
    10. Para remover um tipo de dados de aquisição do script, clique no ícone x ( ) na guia de aquisição no lado esquerdo da página.
    Nota:
    Esta integração não é compatível com Permitir edições antes de adquirir ao criar scripts. Portanto, certifique-se de que a caixa de seleção esteja desmarcada.

    Exportando um script do FireEye

    Você pode exportar um script de aquisição de dados para um arquivo JSON. Para exportar um script de aquisição de dados:
    1. Selecionar Scripts de aquisição de dados > Administrador da interface do usuário da Web do Endpoint Security.
    2. Selecione Scripts de aquisição de dados no menu do administrador.
    3. Selecione o script que você deseja exportar no lado esquerdo da página.
    4. selecionar Ações > Exportar script.
    5. Um arquivo JSON é baixado para o seu computador. O nome do arquivo JSON inclui o sistema operacional para que você possa determinar facilmente quais scripts são para qual sistema operacional.

    Como criar uma nova ação de aquisição de dados na Now Platform

    Para criar uma nova ação, siga estas etapas:
    1. Navegar até Integração do FireEye > Ações adicionais do FireEye. A lista Ações adicionais do FireEye é exibida.
    2. Clicar Novo. O formulário da nova ação é exibido.
    3. Preencha o formulário.
      Nome da Ação Nome da ação do FireEye que é executada. Este nome ajuda a identificar o tipo de ação e descrevê-lo.
      Aquisição Uma aquisição obtém os dados a serem analisados. Este é um campo somente leitura e o padrão é Aquisição de dados.
      Origem Nome da origem do FireEye. Somente origens configuradas estão disponíveis na lista de seleção.
      Capacidade Este é um campo somente leitura e está preenchido com a capacidade Executar ação(ões) adicional(is)
      Tipo de aquisição Tipo de ação de aquisição que precisa ser obtido e analisado.
      Ativo Isso indica que a Ação está ativa.
      Requer Aprovação

      Quando você habilita a opção Requer aprovação, o campo Aprovadores fica disponível no formulário. Depois de enviar uma solicitação, é necessária a aprovação do grupo para concluir a solicitação.
      Marcador de exibição Tipo de sistema operacional, como Windows, Mac e Linux, para adicionar scripts.
      Nota:
      Somente um tipo de SO é compatível no momento. Você pode criar uma ação por sistema operacional. Para outros sistemas operacionais, crie novas ações conforme necessário.
      Scripts O script importado do FireEye precisa ser fornecido para o tipo de SO selecionado. Somente um script pode ser adicionado a cada tipo de SO.
    4. Clicar Enviar.

    Como acionar aquisições de dados a partir do incidente de segurança

    As ações adicionais criadas podem ser executadas por meio do link relacionado chamado Executar ações adicionais no endpoint sobre o incidente de segurança.
    Nota:
    Permitir edições antes de adquirir A funcionalidade FireEye não é compatível com as Ações adicionais no endpoint.