Créer un nouveau profil d’aptitude pour l’intégration du point de terminaison FireEye

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Créez un profil et sélectionnez les FireEye HX options que vous souhaitez que le profil exécute.

    Avant de commencer

    Rôle requis : administrateur d’incident de sécurité NowPlatform (sn_si.admin)

    Pourquoi et quand exécuter cette tâche

    Des profils sont créés pour regrouper les capacités et aideraient les analystes à effectuer facilement l’enquête/la correction.

    Voici la liste des fonctionnalités que vous pouvez ajouter au(x) profil(s) :
    1. Obtenir les détails de l'hôte
    2. Obtenir les utilisateurs connectés
    3. Obtenir les statistiques réseau
    4. Obtenir les processus en cours d'exécution
    5. Obtenir les services d'exécution
    6. Obtenir un fichier
    7. Isoler l'hôte
    8. Supprimer l'isolement

    Vous ne pouvez pas associer les options Obtenir un fichier, Isoler l’hôte et Supprimer l’isolement de l’hôte avec d’autres options lors de la création d’un profil. Les profils de ceux-ci doivent être créés individuellement. D’autre part, Obtenir les détails du système, Obtenir les utilisateurs connectés, Obtenir les statistiques réseau, Obtenir les processus en cours d’exécution et Obtenir les services d’exécution peuvent être regroupés. Vous pouvez créer des profils individuellement ou en les matraquant en entier ou en partie selon vos besoins. Une fois qu’une option est incluse dans un profil, elle ne peut pas être incluse dans un autre profil.

    Pour créer un nouveau profil d’aptitude, procédez comme suit :

    Procédure

    1. Accédez à la Intégration de FireEye > Profils d'aptitude FireEye.
      La liste des profils d’aptitudes s’affiche.
    2. Cliquer sur Nouvelle.
    3. Renseignez les champs du formulaire.
      Nom Nom du profil d’aptitude FireEye HX . Ce nom vous permet d’identifier le type de profil et de le décrire.
      Description Informations supplémentaires sur le profil qui décrit plus en détail le profil.
      Source Nom de la FireEye HX source. Seules les sources configurées sont disponibles dans la liste de choix.
      Options FireEye HX Aptitudes du FireEye HX profil. Sélectionnez les options souhaitées pour ce profil dans la colonne Disponible et déplacez-les vers la colonne Sélectionné.
      Commande Priorité du flux. La valeur par défaut est 100. La valeur de ce champ indique l’ordre dans lequel les flux sont exécutés lorsque deux profils ou plus partagent des conditions de déclenchement.

      Le flux avec le numéro le plus bas a la priorité la plus élevée.

      Pour définir l’ordre d’opération, saisissez une valeur. Par exemple, 100, 200, 300, 400.
      Actif Cela indique que le profil est actif. Lorsque le profil est actif, il se déclenche automatiquement lorsqu’un incident de sécurité correspondant aux conditions de filtrage que vous avez spécifiées dans la configuration est créé.
      La figure suivante est un exemple de formulaire rempli pour les détails du profil avec l’aptitude Obtenir les détails de l’hôte.
    4. Cliquer sur Suivant pour passer à la configuration du profil.
      Profil d’aptitude
      Remarque :
      Les options Isoler l’hôte, Supprimer l’isolement de l’hôte et Obtenir des fichiers ne peuvent pas être associées à d’autres options.

    Que faire ensuite

    L’étape suivante consiste à configurer votre profil. Avant de configurer les paramètres du profil, vous pouvez passer en revue les concepts de configuration des profils et des conditions de déclenchement. Pour plus d’informations, consultez Comprendre comment les conditions de déclenchement fonctionnent avec un élément de configuration pour un profil.