Gérer les observables de fichier

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • L’option Gérer les observables de fichier fournit des mesures de sécurité rigoureuses pour stocker les fichiers suspects et active les observables de type de fichier pour l’intégration de sandbox.

    Avant de commencer

    Rôle requis : sn_ti_malicious_attachment_access (charger)

    Chargez les observables de type de fichier :

    • Automatiquement : lorsque les incidents de sécurité sont créés pour les e-mails d’hameçonnage, les pièces jointes de l’e-mail d’hameçonnage sont créées en tant qu’observables de type de fichier.

    • Manuellement : un analyste de sécurité peut également charger les fichiers suspects pour créer des observables de type de fichier.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez créer et afficher des observables de type fichier pour un incident de sécurité. Les fichiers suspects qui font partie des observables sont stockés dans un emplacement spécifique, auquel l’analyste de sécurité peut accéder pour télécharger le fichier uniquement avec un rôle spécifique.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Sélectionnez des observables dans l’onglet Afficher toutes les listes connexes .

      Si l’e-mail d’hameçonnage contient des pièces jointes, ces pièces jointes sont créées par défaut en tant qu’observables de type de fichier dans l’incident de sécurité correspondant. Chaque pièce jointe est créée en tant que deux observables, tels que le type de fichier et l’observable de hachage de fichier.

    3. Pour charger manuellement les pièces jointes sécurisées :
      • Cliquez sur Télécharger la pièce jointe sécurisée.
      • Dans Télécharger les pièces jointes sécurisées, cliquez sur Choisir un fichier pour charger un ou plusieurs fichiers. Chaque fichier est considéré comme un enregistrement observable unique.
      • Cliquez sur Créer des observables de fichier pour créer les observables de type de fichier, tels que l’un est le type de fichier et l’autre est le hachage de fichier qui est un identificateur unique.
      Figure 1. Observables de type de fichier

      Cette image décrit le contenu de fichier des observables.
      Sélectionnez l’observable de type de fichier à traiter pour d’autres intégrations telles que le bac à sable, la recherche de menace. En outre, vous pouvez également télécharger les pièces jointes à partir de l’observable de type de fichier.
      Remarque :
      La recherche de menace (VirusTotal) récupère le fichier à partir des pièces jointes sécurisées pour les nouveaux observables de type de fichier et les propriétés système ci-dessous ne sont pas applicables pour les nouveaux observables de type de fichier.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Pour une référence rapide, l’observable de type de fichier est mappé en tant qu’enfant à l’observable de hachage et l’observable de hachage est mappé en tant qu’enfant à l’observable de fichier.

      Si les pièces jointes de l’e-mail d’hameçonnage dépassent la taille définie, les observables ne sont pas créés. Vous devez modifier les propriétés système pour prendre en charge les fichiers de plus grande taille.
      Tableau 1. Propriétés système de la taille du fichier
      Propriété système Description
      glide.email.inbound.max_total_attachment_size_bytes Si vous transférez directement l’e-mail d’hameçonnage, utilisez cette valeur de propriétés système pour augmenter la taille du fichier de 18 Mo à la taille de fichier souhaitée.
      com.glide.attachment.max_get_size Si vous transférez l’e-mail d’hameçonnage en tant que pièce jointe, utilisez cette valeur de propriété système pour créer les propriétés système ci-dessous sous Portée globale afin d’augmenter la taille du fichier de 5 Mo à la taille souhaitée.
      Vous pouvez également créer un observable de type de fichier comme suit :
      1. Cliquez sur Nouveau.
      2. Sélectionner le type d’observable Catégorie : fichier
      3. Cliquez sur Charger pour joindre un fichier.