Gérer les observables de fichier

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

2 minutes de lecture

La gestion des observables de fichier fournit des mesures de sécurité strictes pour stocker les fichiers suspects et active les observables de type de fichiers pour l’intégration de bac à sable.

Avant de commencer

Rôle requis : sn_ti_malicious_attachment_access (charger)

Chargez les observables de type de fichier :

Automatiquement : lorsque les incidents de sécurité sont créés pour les e-mails d’hameçonnage, les pièces jointes de l’e-mail d’hameçonnage sont créées en tant qu’observables de type fichier.
Manuellement : un analyste de sécurité peut également charger les fichiers suspects pour créer des observables de type fichier.

Pourquoi et quand exécuter cette tâche

Vous pouvez créer et afficher des observables de type fichier pour un incident de sécurité. Les fichiers suspects qui font partie des observables sont stockés dans un emplacement spécifique, auquel l’analyste de la sécurité peut accéder pour télécharger le fichier uniquement avec un rôle spécifique.

Procédure

Accédez à un incident de sécurité.
Sélectionnez des observables dans l’onglet Afficher toutes les listes connexes .

Si l’e-mail d’hameçonnage contient des pièces jointes, celles-ci sont créées par défaut en tant qu’observables de type fichier dans l’incident de sécurité correspondant. Chaque pièce jointe est créée en tant que deux observables tels que le type de fichier et l’observable de hachage de fichier.

Pour charger manuellement les pièces jointes sécurisées :

Cliquez sur Télécharger la pièce jointe sécurisée.
Dans la section Télécharger des pièces jointes sécurisées, cliquez sur Choisir un fichier pour charger un ou plusieurs fichiers. Chaque fichier est considéré comme un enregistrement observable unique.
Cliquez sur Créer des observables de fichier pour créer des observables de type de fichier, par exemple un est le type de fichier et l’autre est le hachage de fichier, qui est un identificateur unique.

Cette image décrit le contenu du fichier des observables. — Figure 1. Observables de type de fichier

Sélectionnez le type de fichier observable à traiter pour d’autres intégrations telles que le bac à sable, la recherche de menaces. En outre, vous pouvez également télécharger les pièces jointes à partir du type de fichier observable.

Remarque :

La recherche de menace (VirusTotal) récupère le fichier à partir des pièces jointes sécurisées pour les nouveaux observables de type de fichier et les propriétés système ci-dessous ne sont pas applicables aux nouveaux observables de type de fichier.

sn_ti.scan.delete_attachment_after_hash
sn_ti.scan.use_file_hash

Pour une référence rapide, l’observable de type fichier est mappé en tant qu’enfant à l’observable de hachage et l’observable de hachage est mappé en tant qu’enfant à l’observable de fichier.

Si les pièces jointes de l’e-mail d’hameçonnage dépassent la taille définie, les observables ne sont pas créés. Vous devez modifier les propriétés système pour prendre en charge les fichiers de plus grande taille.

Tableau 1. Propriétés système de la taille du fichier
Propriété système	Description
glide.email.inbound.max_total_attachment_size_bytes	Si vous transférez directement l’e-mail d’hameçonnage, utilisez cette valeur de propriétés système pour augmenter la taille du fichier de 18 Mo à la taille de fichier souhaitée.
com.glide.attachment.max_get_size	Si vous transférez l’e-mail d’hameçonnage en tant que pièce jointe, utilisez cette valeur de propriété système pour créer les propriétés système ci-dessous dans le champ d’application global afin d’augmenter la taille du fichier de 5 Mo à la taille souhaitée.

Vous pouvez également créer un observable de type de fichier comme suit :

Cliquez sur Nouveau.
Sélectionner le type d’observable Catégorie : fichier
Cliquez sur Charger pour joindre un fichier.