Gérer les observables de fichier

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Gérer les observables de fichier fournit des mesures de sécurité strictes pour stocker les fichiers suspects et permet aux observables de type fichiers d’être intégrés dans le bac à sable.

    Avant de commencer

    Rôle requis : sn_ti_malicious_attachment_access (charger)

    Chargez les observables de type de fichier :

    • Automatiquement : lorsque les incidents de sécurité sont créés pour les e-mails d’hameçonnage, les pièces jointes de l’e-mail d’hameçonnage sont créées en tant qu’observables de type fichier.

    • Manuellement : un analyste de sécurité peut également charger les fichiers suspects pour créer des observables de type fichier.

    Pourquoi et quand exécuter cette tâche

    Vous pouvez créer et afficher des observables de type fichier pour un incident de sécurité. Les fichiers suspects qui font partie des observables sont stockés dans un emplacement spécifique, auquel l’analyste de sécurité peut accéder pour télécharger le fichier uniquement avec un rôle spécifique.

    Procédure

    1. Accédez à un incident de sécurité.
    2. Sélectionnez des observables dans l’onglet Afficher toutes les listes connexes .

      Si l’e-mail d’hameçonnage contient des pièces jointes, ces pièces jointes sont créées par défaut en tant qu’observables de type fichier dans l’incident de sécurité correspondant. Chaque pièce jointe est créée en tant que deux observables, tels que l’observable de type de fichier et l’observable de hachage de fichier.

    3. Pour charger manuellement les pièces jointes sécurisées :
      • Cliquez sur Télécharger la pièce jointe sécurisée.
      • Dans l’onglet Télécharger les pièces jointes sécurisées, cliquez sur Choisir un fichier pour charger un ou plusieurs fichiers. Chaque fichier est considéré comme un enregistrement observable unique.
      • Cliquez sur Créer un fichier Observables pour créer les observables de type de fichier, tels que l’un est le type de fichier et l’autre est le hachage de fichier qui est un identificateur unique.
      Figure 1. Observables de type de fichier

      Cette image décrit le contenu de fichier des observables.
      Sélectionnez l’observable de type de fichier à traiter pour d’autres intégrations telles que le bac à sable et la recherche de menace. En outre, vous pouvez également télécharger les pièces jointes à partir de l’observable de type de fichier.
      Remarque :
      La recherche de menace (VirusTotal) récupère le fichier à partir des pièces jointes sécurisées pour les nouveaux observables de type de fichier et les propriétés système ci-dessous ne sont pas applicables pour les nouveaux observables de type de fichier.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Pour référence rapide, l’observable de type de fichier est mappé comme enfant à l’observable de hachage et l’observable de hachage est mappé comme enfant à l’observable de fichier.

      Si les pièces jointes de l’e-mail d’hameçonnage dépassent la taille définie, les observables ne sont pas créés. Vous devez modifier les propriétés système pour prendre en charge les fichiers de plus grande taille.
      Tableau 1. Propriétés système de la taille du fichier
      Propriété système Description
      glide.email.inbound.max_total_attachment_size_bytes Si vous transférez directement l’e-mail d’hameçonnage, utilisez cette valeur de propriétés système pour augmenter la taille du fichier de 18 Mo à la taille souhaitée.
      com.glide.attachment.max_get_size Si vous transférez l’e-mail d’hameçonnage en tant que pièce jointe, utilisez cette valeur de propriété système pour créer les propriétés système ci-dessous dans le champ d’application global afin d’augmenter la taille du fichier de 5 Mo à la taille souhaitée.
      Vous pouvez également créer un observable de type de fichier comme suit :
      1. Cliquez sur Nouveau.
      2. Sélectionner le type d’observable Catégorie : fichier
      3. Cliquez sur Charger pour joindre un fichier.