Erkennbare Dateielemente verwalten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • „Erkennbare Dateielemente verwalten“ bietet strenge Sicherheitsmaßnahmen zum Speichern verdächtiger Dateien und aktiviert die erkennbaren Dateitypen für die Sandbox-Integration.

    Vorbereitungen

    Erforderliche Rolle: sn_ti_malicious_attachment_access (upload)

    Laden Sie die erkennbaren Elemente des Dateityps hoch:

    • Automatisch: Wenn die Security Incidents für die Phishing-E-Mails erstellt werden, werden die Anhänge in der Phishing-E-Mail als erkennbare Elemente des Dateityps erstellt.

    • Manuell: Ein Sicherheitsanalyst kann die verdächtigen Dateien auch hochladen, um erkennbare Elemente des Dateityps zu erstellen.

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können erkennbare Dateitypen für einen Security Incident erstellen und anzeigen. Die verdächtigen Dateien, die Teil der erkennbaren Elemente sind, werden an einem bestimmten Speicherort gespeichert, auf den der Sicherheitsanalyst zugreifen kann, um die Datei nur mit einer bestimmten Rolle herunterzuladen.

    Prozedur

    1. Navigieren Sie zu einem Security Incident.
    2. Wählen Sie auf der Registerkarte Alle zugehörigen Listen anzeigen die Option Erkennbare Elemente aus.

      Wenn die Phishing-E-Mail Anhänge enthält, werden diese Anhänge standardmäßig als erkennbare Elemente des Dateityps im entsprechenden Security Incident erstellt. Jeder Anhang wird als zwei erkennbare Elemente erstellt, z. B. Dateityp und erkennbares Datei-Hash-Element.

    3. So laden Sie die sicheren Anhänge manuell hoch:
      • Klicken Sie auf Sicheren Anhang hochladen.
      • Klicken Sie beim Hochladen sicherer Anhänge auf Datei auswählen, um eine oder mehrere Dateien hochzuladen. Jede Datei wird als einzelner erkennbarer Datensatz betrachtet.
      • Klicken Sie auf Erkennbare Dateielemente erstellen, um die erkennbaren Dateitypen zu erstellen, z. B. den Dateityp und den Datei-Hash, der ein eindeutiger Bezeichner ist.
      Abbildung : 1. Erkennbare Dateitypen

      Diese Abbildung beschreibt den Dateiinhalt der erkennbaren Elemente.
      Wählen Sie den erkennbaren Dateityp aus, der für weitere Integrationen wie Sandbox, Bedrohungssuche verarbeitet werden soll. Darüber hinaus können Sie die Anhänge auch aus dem erkennbaren Dateityp herunterladen.
      Hinweis:
      Die Bedrohungssuche (VirusTotal) ruft die Datei aus den gesicherten Anhängen für die erkennbaren Elemente des neuen Dateityps ab, und die folgenden Systemeigenschaften gelten nicht für die erkennbaren Elemente des neuen Dateityps.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Zur Schnellreferenz: Der erkennbare Dateityp wird dem erkennbaren Hash-Element als untergeordnetes Element zugeordnet, und das erkennbare Hash-Element wird dem erkennbaren Dateielement als untergeordnetes Element zugeordnet.

      Wenn die Phishing-E-Mail-Anhänge die definierte Größe überschreiten, werden die erkennbaren Elemente nicht erstellt. Sie müssen die Systemeigenschaften ändern, um die größeren Dateien zu unterstützen.
      Tabelle : 1. Systemeigenschaften der Dateigröße
      Systemeigenschaft Beschreibung
      glide.email.inbound.max_total_attachment_size_bytes Wenn Sie die Phishing-E-Mail direkt weiterleiten, verwenden Sie diesen Systemeigenschaftenwert, um die Dateigröße von 18 MB auf die gewünschte Dateigröße zu erhöhen.
      com.glide.attachment.max_get_size Wenn Sie die Phishing-E-Mail als Anhang weiterleiten, verwenden Sie diesen Systemeigenschaftswert, um die folgenden Systemeigenschaften im globalen Bereich zu erstellen und die Dateigröße von 5 MB auf die gewünschte Größe zu erhöhen.
      Sie können auch wie folgt einen neuen erkennbaren Dateityp erstellen:
      1. Klicken Sie auf Neu.
      2. Wählen Sie als Typ des erkennbaren Elements Kategorie: Datei aus
      3. Klicken Sie auf Hochladen, um eine Datei anzuhängen.