Gérer les observables du fichier

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • La gestion des observables de fichier fournit des mesures de sécurité strictes pour stocker les fichiers suspects et active les observables de type de fichiers pour l’intégration de Sandbox

    Avant de commencer

    Rôle requis : sn_ti_malicious_attachment_access (charger)

    Chargez les observables de type de fichier :

    • Automatiquement : lorsque les incidents de sécurité sont créés pour les e-mails d’hameçonnage, les pièces jointes de l’e-mail d’hameçonnage sont créées en tant qu’observables de type fichier.

    • Manuellement : un analyste de sécurité peut également télécharger les fichiers suspects pour créer des observables de type fichier.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez créer et afficher des observables de type fichier pour un incident de sécurité. Les fichiers suspects qui font partie des observables sont stockés dans un emplacement spécifique, auquel l’analyste de sécurité peut accéder pour télécharger le fichier uniquement avec un rôle spécifique.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Sélectionnez des observables dans l’onglet Afficher toutes les listes connexes .

      Si l’e-mail d’hameçonnage contient des pièces jointes, celles-ci sont créées par défaut en tant qu’observables de type fichier dans l’incident de sécurité correspondant. Chaque pièce jointe est créée sous la forme de deux observables tels que le type de fichier et l’observable de hachage de fichier.

    3. Pour charger manuellement les pièces jointes sécurisées :
      • Sélectionnez Télécharger la pièce jointe sécurisée.
      • Dans la section Télécharger les pièces jointes sécurisées, sélectionnez Choisir un fichier pour télécharger un ou plusieurs fichiers. Chaque fichier est considéré comme un enregistrement d’observable unique.
      • Sélectionnez Créer un fichier Observables pour créer le type de fichier Observables, par exemple un est le type de fichier et l’autre est le hachage de fichier qui est un identificateur unique.
      Sélectionnez le type de fichier observable à traiter pour d’autres intégrations telles que sandbox, recherche de menaces. En outre, vous pouvez également télécharger les pièces jointes à partir du type de fichier observable.
      Remarque :
      La recherche de menaces (VirusTotal) récupère le fichier à partir des pièces jointes sécurisées pour les nouveaux observables de type de fichier et les propriétés système suivantes ne s’appliquent pas aux nouveaux observables de type de fichier.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Pour une référence rapide, l’observable de type fichier est mappé en tant qu’enfant à l’observable de hachage et l’observable de hachage est mappé en tant qu’enfant à l’observable de fichier.

      Si les pièces jointes de l’e-mail d’hameçonnage dépassent la taille définie, les observables ne sont pas créés. Vous devez modifier les propriétés système pour prendre en charge les fichiers de plus grande taille.
      Tableau 1. Propriétés système de taille de fichier
      Propriété système Description
      glide.email.inbound.max_total_attachment_size_bytes Si vous transférez directement l’e-mail d’hameçonnage, utilisez cette valeur de propriétés système pour augmenter la taille du fichier de 18 Mo à la taille souhaitée.
      com.glide.attachment.max_get_size Si vous transférez l’e-mail d’hameçonnage en tant que pièce jointe, utilisez cette valeur de propriété système pour créer les propriétés système suivantes dans le champ d’application global afin d’augmenter la taille du fichier de 5 Mo à la taille souhaitée.
      Vous pouvez également créer un observable de type fichier comme suit :
      1. Sélectionnez Nouveau.
      2. Sélectionner le type d’observable Catégorie : fichier
      3. Sélectionnez Télécharger pour joindre un fichier.