Gérer les observables de fichier

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

2 minutes de lecture

L’option Gérer les observables de fichier fournit des mesures de sécurité rigoureuses pour stocker les fichiers suspects et active les observables de type de fichier pour l’intégration de sandbox.

Avant de commencer

Rôle requis : sn_ti_malicious_attachment_access (charger)

Chargez les observables de type de fichier :

Automatiquement : lorsque les incidents de sécurité sont créés pour les e-mails d’hameçonnage, les pièces jointes de l’e-mail d’hameçonnage sont créées en tant qu’observables de type de fichier.
Manuellement : un analyste de sécurité peut également charger les fichiers suspects pour créer des observables de type de fichier.

Pourquoi et quand exécuter cette tâche

Vous pouvez créer et afficher des observables de type fichier pour un incident de sécurité. Les fichiers suspects qui font partie des observables sont stockés dans un emplacement spécifique, auquel l’analyste de sécurité peut accéder pour télécharger le fichier uniquement avec un rôle spécifique.

Procédure

Accédez à un incident de sécurité.
Sélectionnez des observables dans l’onglet Afficher toutes les listes connexes .

Si l’e-mail d’hameçonnage contient des pièces jointes, ces pièces jointes sont créées par défaut en tant qu’observables de type de fichier dans l’incident de sécurité correspondant. Chaque pièce jointe est créée en tant que deux observables, tels que le type de fichier et l’observable de hachage de fichier.

Pour charger manuellement les pièces jointes sécurisées :

Cliquez sur Télécharger la pièce jointe sécurisée.
Dans Télécharger les pièces jointes sécurisées, cliquez sur Choisir un fichier pour charger un ou plusieurs fichiers. Chaque fichier est considéré comme un enregistrement observable unique.
Cliquez sur Créer des observables de fichier pour créer les observables de type de fichier, tels que l’un est le type de fichier et l’autre est le hachage de fichier qui est un identificateur unique.

Cette image décrit le contenu de fichier des observables. — Figure 1. Observables de type de fichier

Sélectionnez l’observable de type de fichier à traiter pour d’autres intégrations telles que le bac à sable, la recherche de menace. En outre, vous pouvez également télécharger les pièces jointes à partir de l’observable de type de fichier.

Remarque :

La recherche de menace (VirusTotal) récupère le fichier à partir des pièces jointes sécurisées pour les nouveaux observables de type de fichier et les propriétés système ci-dessous ne sont pas applicables pour les nouveaux observables de type de fichier.

sn_ti.scan.delete_attachment_after_hash
sn_ti.scan.use_file_hash

Pour une référence rapide, l’observable de type de fichier est mappé en tant qu’enfant à l’observable de hachage et l’observable de hachage est mappé en tant qu’enfant à l’observable de fichier.

Si les pièces jointes de l’e-mail d’hameçonnage dépassent la taille définie, les observables ne sont pas créés. Vous devez modifier les propriétés système pour prendre en charge les fichiers de plus grande taille.

Tableau 1. Propriétés système de la taille du fichier
Propriété système	Description
glide.email.inbound.max_total_attachment_size_bytes	Si vous transférez directement l’e-mail d’hameçonnage, utilisez cette valeur de propriétés système pour augmenter la taille du fichier de 18 Mo à la taille de fichier souhaitée.
com.glide.attachment.max_get_size	Si vous transférez l’e-mail d’hameçonnage en tant que pièce jointe, utilisez cette valeur de propriété système pour créer les propriétés système ci-dessous sous Portée globale afin d’augmenter la taille du fichier de 5 Mo à la taille souhaitée.

Vous pouvez également créer un observable de type de fichier comme suit :

Cliquez sur Nouveau.
Sélectionner le type d’observable Catégorie : fichier
Cliquez sur Charger pour joindre un fichier.