ファイル観測事象の管理
ファイル観測事象の管理は、不審なファイルを保存するための厳格なセキュリティ対策を提供し、サンドボックス統合のためのファイルタイプ観測事象を有効にします。
始める前に
必要なロール:sn_ti_malicious_attachment_access (アップロード)
ファイルタイプ観測事象をアップロードします。
自動:フィッシングメールのセキュリティインシデントが作成されると、フィッシングメールの添付ファイルがファイルタイプ観測事象として作成されます。
手動:セキュリティアナリストは、不審なファイルをアップロードして、ファイルタイプ観測事象を作成することもできます。
このタスクについて
セキュリティインシデントのファイルタイプ観測事象を作成および表示できます。観測事象の一部である不審なファイルは特定の場所に保存され、セキュリティアナリストはそれらのファイルにアクセスして、特定のロールでのみダウンロードできます。
手順
-
安全な添付ファイルを手動でアップロードするには:
- [安全な添付ファイルをアップロード] をクリックします。
- [安全な添付ファイルをアップロード] で、[ファイルを選択] をクリックして 1 つ以上のファイルをアップロードします。各ファイルは単一の観測事象レコードと見なされます。
- [ファイル観測事象を作成] をクリックして、ファイルタイプ観測事象を作成します。1 つはファイルタイプ観測事象で、もう 1 つは一意の識別子であるファイルハッシュ観測事象です。
図 : 1. ファイルタイプ観測事象
サンドボックス、脅威のルックアップなどの統合を進めるために処理するファイルタイプ観測事象を選択します。さらに、ファイルタイプ観測事象から添付ファイルをダウンロードすることもできます。注:脅威のルックアップ (VirusTotal) は、新しいファイルタイプ観測事象に対して保護された添付ファイルからファイルを取得します。以下のシステムプロパティは、新しいファイルタイプ観測事象には適用されません。- sn_ti.scan.delete_attachment_after_hash
- sn_ti.scan.use_file_hash
すばやく参照できるように、ファイルタイプ観測事象はハッシュ観測事象の子としてマッピングされ、ハッシュ観測事象はファイル観測事象の子としてマッピングされます。
フィッシングメールの添付ファイルが定義されたサイズを超えている場合、観測事象は作成されません。サイズの大きいファイルをサポートするには、システムのプロパティを変更する必要があります。表 : 1. ファイルサイズのシステムプロパティ システム プロパティ 説明 glide.email.inbound.max_total_attachment_size_bytes フィッシングメールを直接転送する場合は、このシステムプロパティ値を使用して、ファイルサイズを 18 MB から目的のファイルサイズに増やします。 com.glide.attachment.max_get_size フィッシングメールを添付ファイルとして転送する場合は、このシステムプロパティ値を使用して、グローバルスコープでその下のシステムプロパティを作成し、ファイルサイズを 5 MB から目的のサイズに増やします。 次のようにして、新しいファイルタイプ観測事象を作成することもできます。- [新規] をクリックします。
- [観測事象タイプカテゴリ:ファイル (Observable type Category: File)] を選択します。
- [アップロード] をクリックしてファイルを添付します。