파일 옵저버블 관리

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 파일 옵저버블 관리는 의심스러운 파일을 저장하기 위한 엄격한 보안 조치를 제공하고 샌드박스 통합을 위해 파일 유형 옵저버블을 활성화합니다.

    시작하기 전에

    필요한 역할: sn_ti_malicious_attachment_access(업로드)

    옵저버블 파일 형식 업로드:

    • 자동: 피싱 이메일에 대한 보안 인시던트가 생성되면 피싱 이메일의 첨부 파일이 관찰 가능한 파일 형식으로 생성됩니다.

    • 수동으로: 보안 분석가가 의심스러운 파일을 업로드하여 파일 형식 옵저버블을 만들 수도 있습니다.

    이 태스크 정보

    보안 인시던트에 대한 파일 형식 옵저버블을 생성하고 볼 수 있습니다. 옵저버블의 일부인 의심스러운 파일은 특정 위치에 저장되며, 보안 분석가는 특정 역할로만 파일을 다운로드하기 위해 액세스할 수 있습니다.

    프로시저

    1. 보안 인시던트로 이동합니다.
    2. 모든 관련 목록 표시 탭에서 옵저버블을 선택합니다.

      피싱 이메일에 첨부 파일이 있는 경우 기본적으로 해당 첨부 파일은 해당 보안 인시던트에서 파일 형식 옵저버블로 생성됩니다. 각 첨부 파일은 파일 유형 및 파일 해시 옵저버블과 같은 두 개의 옵저버블로 생성됩니다.

    3. 보안 첨부 파일을 수동으로 업로드하려면 다음을 수행합니다.
      • 보안 첨부 파일 업로드를 클릭합니다.
      • Upload Secure Attachments(보안 첨부 파일 업로드)에서 Choose file(파일 선택 )을 클릭하여 하나 이상의 파일을 업로드합니다. 각 파일은 단일 옵저버블 기록으로 간주됩니다.
      • 옵저버블 파일 생성을 클릭하여 파일 유형 옵저버블을 생성합니다. 하나는 파일 유형이고 다른 하나는 고유 식별자인 파일 해시입니다.
      그림 1. 파일 유형 옵저버블

      이 이미지는 옵저버블의 파일 컨텐츠를 설명합니다.
      샌드박스, 위협 조회와 같은 추가 통합을 처리할 옵저버블 파일 유형을 선택합니다. 또한 옵저버블 파일 형식에서 첨부 파일을 다운로드할 수도 있습니다.
      주:
      위협 조회(VirusTotal)는 새 파일 유형 옵저버블에 대한 보안 첨부 파일에서 파일을 검색하며 아래 시스템 속성은 새 파일 유형 옵저버블에 적용할 수 없습니다.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      빠른 참조를 위해 파일 유형 observable은 해시 observable에 하위로 매핑되고 hash observable은 파일 observable에 하위로 매핑됩니다.

      피싱 이메일 첨부 파일이 정의된 크기보다 크면 옵저버블이 생성되지 않습니다. 더 큰 크기의 파일을 지원하려면 시스템 속성을 수정해야 합니다.
      표 1. 파일 크기 시스템 속성
      시스템 속성 설명
      glide.email.inbound.max_total_attachment_size_bytes 피싱 이메일을 직접 전달하는 경우 이 시스템 속성 값을 사용하여 파일 크기를 18MB에서 원하는 파일 크기로 늘립니다.
      com.glide.attachment.max_get_size 피싱 이메일을 첨부 파일로 전달하는 경우 이 시스템 속성 값을 사용하여 전역 범위에서 아래 시스템 속성을 생성하여 파일 크기를 5MB에서 원하는 크기로 늘립니다.
      다음과 같이 새 파일 형식 옵저버블을 생성할 수도 있습니다.
      1. 새로 만들기를 클릭합니다.
      2. 옵저버블 유형 선택 범주: 파일
      3. 업로드를 클릭하여 파일을 첨부합니다.