파일 옵저버블 관리

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기2분

    • 파일 옵저버블 관리는 의심스러운 파일을 저장하기 위한 엄격한 보안 조치를 제공하고 샌드박스 통합을 위해 파일 유형 옵저버블을 활성화합니다.

    시작하기 전에

    필요한 역할: sn_ti_malicious_attachment_access(업로드)

    옵저버블 파일 유형 업로드:

    • 자동: 피싱 이메일에 대한 보안 인시던트가 생성되면 피싱 이메일의 첨부 파일이 옵저버블 파일 형식으로 생성됩니다.

    • 수동으로: 보안 분석가는 의심스러운 파일을 업로드하여 옵저버블 파일 유형을 생성할 수도 있습니다.

    이 태스크 정보

    보안 인시던트에 대한 옵저버블 파일 유형을 생성하고 볼 수 있습니다. 옵저버블의 일부인 의심스러운 파일은 특정 위치에 저장되며, 보안 분석가가 특정 역할로만 파일을 다운로드하기 위해 액세스할 수 있습니다.

    프로시저

    1. 보안 인시던트로 이동합니다.
    2. 모든 관련 목록 표시 탭에서 옵저버블을 선택합니다.

      피싱 이메일에 첨부 파일이 있는 경우 기본적으로 이러한 첨부 파일은 해당 보안 인시던트에서 파일 유형 옵저버블로 생성됩니다. 각 첨부 파일은 파일 유형 및 파일 해시 옵저버블과 같은 두 개의 옵저버블로 생성됩니다.

    3. 보안 첨부 파일을 수동으로 업로드하려면 다음과 같이 하십시오.
      • 보안 첨부 파일 업로드를 클릭합니다.
      • 보안 첨부 파일 업로드에서 파일 선택을 클릭하여 하나 이상의 파일을 업로드합니다. 각 파일은 단일 옵저버블 기록으로 간주됩니다.
      • 파일 옵저버블 생성을 클릭하여 옵저버블 파일 유형을 생성합니다. 예를 들어 하나는 파일 유형이고 다른 하나는 고유 식별자인 파일 해시입니다.
      그림 1. 옵저버블 파일 형식

      이 이미지는 옵저버블의 파일 내용을 설명합니다.
      샌드박스, 위협 조회와 같은 추가 통합을 위해 처리할 옵저버블 파일 유형을 선택합니다. 또한 옵저버블 파일 형식에서 첨부 파일을 다운로드할 수도 있습니다.
      주:
      위협 조회(VirusTotal)는 새 파일 유형 옵저버블에 대해 보안 첨부 파일에서 파일을 검색하며, 아래 시스템 속성은 새 파일 유형 옵저버블에 적용할 수 없습니다.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      빠른 참조를 위해 파일 유형 observable은 해시 옵저버블에 하위로 매핑되고 해시 옵저버블은 파일 옵저버블에 하위로 매핑됩니다.

      피싱 이메일 첨부 파일이 정의된 크기보다 큰 경우 옵저버블이 생성되지 않습니다. 더 큰 크기의 파일을 지원하려면 시스템 속성을 수정해야 합니다.
      표 1. 파일 크기 시스템 속성
      시스템 속성 설명
      glide.email.inbound.max_total_attachment_size_bytes 피싱 이메일을 직접 전달하는 경우 이 시스템 속성 값을 사용하여 파일 크기를 18MB에서 원하는 파일 크기로 늘립니다.
      com.glide.attachment.max_get_크기 피싱 이메일을 첨부 파일로 전달하는 경우 이 시스템 속성 값을 사용하여 전역 범위에서 아래 시스템 속성을 생성하여 파일 크기를 5MB에서 원하는 크기로 늘립니다.
      다음과 같이 새 파일 유형 옵저버블을 생성할 수도 있습니다.
      1. 새로 만들기를 클릭합니다.
      2. 옵저버블 유형 범주: 파일 선택
      3. 업로드를 클릭하여 파일을 첨부합니다.