Urządzenie FireEye 4200 działa w dwóch fazach: w pierwszej identyfikuje ruch odbiegający od normy, a w drugiej przepuszcza ten ruch przez maszyny wirtualne w urządzeniu, które sprawdzają czy są w nim zawarte kody szkodliwe. Sprawdzanie podejrzanego ruchu przez maszynę wirtualną zapewnia ograniczenie możliwości fałszywych rozpoznań.

Po wykryciu szkodliwego ruchu, urządzenie może wykonać jedną z trzech akcji defensywnych, wcześniej skonfigurowanych. Może poddać maszynę kwarantannie, kierując ją do specjalnej sieci VLAN, zamknąć dostęp do sieci, blokując port na przełączniku, lub utworzyć wirtualną ACL (Access Control List) dla portu, blokującą ruch uznany za złośliwy, dopuszczając jednocześnie inny ruch z takiej maszyny.

FireEye 4200 są wpinane do portów równoległych lub testowych, tak więc nie wprowadzają opóźnień ruchu podczas jego monitorowania.

FereEye 4200 komunikuje się z przełącznikami za pośrednictwem SNMP, XML (przez HTTP) oraz, z przełącznikami Cisco, za pomocą interfejsu linii komend. Może także wykorzystywać specjalne skrypty do komunikacji z przełącznikami, jeśli inne metody nie działają.

Maszyny wirtualne urządzenia kontrolują zagrożenia związane z desktopami Windows 2000 i XP, firma zamierza jednak w przyszłości udostępnić wersje serwerowe.

Urządzenie nie uwierzytelnia maszyn czy użytkowników ani też nie sprawdza czy są one właściwie wyposażone, ale może współpracować z innymi schematami NAC, które uwierzytelnią i skontrolują punkty końcowe.