Verwalten Sie erkennbare Dateielemente

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • „Erkennbare Dateielemente verwalten“ bietet strenge Sicherheitsmaßnahmen zum Speichern verdächtiger Dateien und aktiviert den Dateityp „Erkennbare Elemente“ für die Sandbox-Integration.

    Vorbereitungen

    Erforderliche Rolle: sn_ti_malicius_attachment_access (hochladen)

    Erkennbare Elemente des Dateityps hochladen:

    • Automatisch: Wenn die Security Incidents für die Phishing-E-Mails erstellt werden, werden die Anhänge in der Phishing-E-Mail als erkennbare Elemente des Dateityps erstellt.

    • Manuell: Ein Sicherheitsanalyst kann die verdächtigen Dateien auch hochladen, um erkennbare Elemente vom Typ Dateityp zu erstellen.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können erkennbare Elemente vom Typ Dateityp für einen Security Incident erstellen und anzeigen. Die verdächtigen Dateien, die Teil der erkennbaren Elemente sind, werden an einem bestimmten Ort gespeichert, auf den der Sicherheitsanalyst zugreifen kann, um die Datei nur mit einer bestimmten Rolle herunterzuladen.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Wählen Sie auf der Registerkarte Alle zugehörigen Listen anzeigen die Option Erkennbare Elemente aus.

      Wenn die Phishing-E-Mail Anhänge enthält, werden diese Anhänge standardmäßig als erkennbare Elemente des Dateityps im entsprechenden Security Incident erstellt. Jeder Anhang wird als zwei erkennbare Elemente erstellt, z. B. Dateityp und erkennbares Datei-Hash-Element.

    3. So laden Sie die sicheren Anhänge manuell hoch:
      • Klicken Sie auf Sicheren Anhang hochladen.
      • Klicken Sie unter „Sichere Anhänge hochladen“ auf Datei auswählen, um eine oder mehrere Dateien hochzuladen. Jede Datei wird als ein einzelner erkennbarer Datensatz betrachtet.
      • Klicken Sie auf „ Erkennbare Dateielemente erstellen“, um die erkennbaren Dateitypen zu erstellen, z. B. eines ist der Dateityp und das andere ist der Datei-Hash, der ein eindeutiger Bezeichner ist.
      Abbildung : 1. Dateityp „Erkennbare Elemente“.

      Diese Abbildung beschreibt den Dateiinhalt der erkennbaren Elemente.
      Wählen Sie den Dateityp des erkennbaren Elements aus, das für weitere Integrationen wie Sandbox, Bedrohungssuche verarbeitet werden soll. Darüber hinaus können Sie die Anhänge auch aus dem Dateityp Observable herunterladen.
      Hinweis:
      Die Bedrohungssuche (VirusTotal) ruft die Datei aus den gesicherten Anhängen für die erkennbaren Elemente des neuen Dateityps ab, und die folgenden Systemeigenschaften gelten nicht für die erkennbaren Elemente des neuen Dateityps.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Zur Schnellreferenz: Der erkennbare Dateityp wird dem erkennbaren Hash-Element als untergeordnetes Element zugeordnet, und das erkennbare Hash-Element wird als untergeordnetes Element dem erkennbaren Dateielement zugeordnet.

      Wenn die Phishing-E-Mail-Anhänge die definierte Größe überschreiten, werden die erkennbaren Elemente nicht erstellt. Sie müssen die Systemeigenschaften ändern, um die größeren Dateien zu unterstützen.
      Tabelle : 1. Systemeigenschaften für die Dateigröße
      Systemeigenschaft Beschreibung
      glide.email.inbound.max_total_attachment_size_bytes Wenn Sie die Phishing-E-Mail direkt weiterleiten, verwenden Sie diesen Systemeigenschaftenwert, um die Dateigröße von 18 MB auf die gewünschte Dateigröße zu erhöhen.
      com.glide.attachment.max_get_size Wenn Sie die Phishing-E-Mail als Anhang weiterleiten, verwenden Sie diesen Systemeigenschaftswert, um die folgenden Systemeigenschaften im globalen Bereich zu erstellen und die Dateigröße von 5 MB auf die gewünschte Größe zu erhöhen.
      Sie können auch wie folgt einen neuen erkennbaren Dateityp erstellen:
      1. Klicken Sie auf Neu.
      2. Wählen Sie den erkennbaren Elementtyp Kategorie: Datei aus
      3. Klicken Sie auf Hochladen, um eine Datei anzuhängen.