FireEye の [ファイルを取得] 機能

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • ファイル取得要求は、ホストエンドポイントからファイルを取得するように Endpoint Security エージェントに指示します。ファイル取得は、潜在的な侵害または確認済みの侵害の静的または動的な分析、および内部の脅威調査中に証拠保持のために使用されます。[ファイルを取得] 機能は個別のプロファイルとして作成する必要があります。

    始める前に

    必要なロール:管理者

    [ファイルプロファイルを取得] のトリガーと機能プロファイルの作成FireEye HX ファイルを取得 署名機能です

    手順

    1. 移動先 セキュリティインシデント > すべてのインシデントを表示.
    2. 確認するセキュリティインシデントを選択します。
    3. クリック EDR プロファイルを実行[Related Links] セクションにあります
    4. 利用可能なプロファイルのリストから [ファイルを取得] プロファイルを参照して選択します。
    5. を提供する ファイル名 および ファイルパス.
      注:
      取得するファイルの名前を入力します。正確なパス名、または別の適切なパスベースの Windows 環境変数を指定します。ドライブ文字またはパス名を指定する必要があります。エンドポイントが異なると、ドライブマッピングが異なる場合があります。フォルダー名を明示的に指定する場合は、パスをバックスラッシュで終了できます。ただし、最後のバックスラッシュは必須ではありません。
    6. クリック 送信.
    7. 作業メモセクションとアクティビティセクションを確認します。
    8. タグを表示し、 ファイルを取得 関連付けられます
      注:
      [ファイルを取得] プロファイルが手動でトリガーされるようになりました。

      ダウンロードしたファイルの取得を確認するには:

      • ファイル取得の .zip ファイルを開きます。
      • ファイルを開くために必要なパスワードを入力します。パスワードは、FireEye HX コンソールのダウンロードリンクにカーソルを合わせると表示できます。パスワードを表示するには、以下の手順に従います。
        • FireEye HX コンソールにログインします。
        • 移動先 取得 取得タイプ–ファイルでフィルタリングします。
        • 目的のレコードを選択します。
          注:
          取得したファイルの詳細が右側のタブに表示されます。
        • カーソルを合わせる ダウンロード パスワードを取得するために上部にあるリンク。
        • テキストエディターまたは XML エディターを使用して、.zip ファイル内のファイルを開いて確認します。
          注:
          • 取得されたファイルは、セキュリティインシデントに対する証拠として追跡できるように、観測事象として手動で追加することをお勧めします。これは、将来、パスワードを忘れたときや変更したときにファイルを表示するのにも役立ちます。
          • [ファイルを取得] アクションでサポートされている最大ファイルサイズは 1024 MB ですが、この値は次のように変更することで構成できます com.glide.attachment.max_sizeをクリックし、既定のタイムアウトは 60 分で、[既定の設定] ページから FireEye HX 構成できます。
          • [ファイルを取得] は、構成アイテム関連リストからトリガーすることもできます。