Configurar perfis e incidentes de segurança para a integração FireEye HX

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Depois de criar um perfil e selecionar os FireEye HX recursos que você deseja que o perfil execute, defina as configurações para que o perfil possa ser invocado somente sob as condições definidas.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Configure o perfil para que ele seja executado somente quando as condições especificadas forem atendidas. Selecione um campo de entrada alternativo para o campo Item de configuração (IC), se necessário, e defina as condições de filtragem para que o perfil possa ser acionado automaticamente quando um incidente de segurança que atender às condições do gatilho for criado.
    Nota:
    Você pode navegar até o Configuração de perfil página somente depois de ter inserido o Detalhes do perfil.

    Procedimento

    1. Navegar até Integração do FireEye > Perfis de capacidade do FireEye.
    2. Clique em Próxima no Detalhes do perfil página depois de concluir a seção Detalhes do perfil.
    3. Revise e configure as seguintes seções:
      • Definir critérios de incidente (automação): defina as condições do incidente de segurança que acionariam automaticamente as capacidades FireEye HX do perfil. Se você não selecionar o Definir critério de incidente Se a opção, o perfil e as capacidades subjacentes poderão ser invocados manualmente a partir do incidente de segurança.
        • Selecionar Definir critério de incidente Opção para acionar automaticamente FireEye HX capacidades no perfil.
        • No Condições do filtro, selecione o campo obrigatório.
        • Você pode adicionar Novos critérios e também definem a condição OU ou E.
          Nota:
          Isolar host, Remover isolamento de host, Obter arquivo não podem ser acionados automaticamente.
      • Configuração adicional: quando o campo Item de configuração (IC) não estiver preenchido no incidente de segurança com um nome de host ou um endereço IP que corresponda ao banco de dados, você poderá selecionar um campo alternativo no incidente de segurança para consultar as FireEye HX APIs.

        Seção de configuração adicional do perfil de capacidade do FireEye.

      • Marcadores: opcionalmente, você pode marcar incidentes de segurança com os marcadores FireEye HX de perfil iniciado, perfil concluído e perfil com falha.

        Clique no botão Marcador de exibição caixa de seleção para habilitar a marcação de incidentes de segurança, o nome do perfil é prefixado na habilitação do marcador. Por padrão, esta opção está desabilitada para todos os perfis.

        Habilitação de marcadores para incidentes de segurança.

      • Aprovações: selecione o Requer Aprovação caixa de seleção para fornecer um nível extra de controle ao usar os recursos FireEye HX para isolar máquinas host, restaurá-las na rede e obter os arquivos.

        A opção de aprovações na configuração do perfil aparece somente para as capacidades Isolar host, Remover isolamento de host e Obter arquivo.

        Configurar parâmetros na seção Aprovação.

    4. Clique em Concluído.
    5. Verifique FireEye HX condições do gatilho.