Gerenciar observáveis de arquivo

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Gerenciar observáveis de arquivo fornece medidas de segurança rígidas para armazenar os arquivos suspeitos e habilita os observáveis do tipo de arquivo para integração na área restrita.

    Antes de Iniciar

    Função necessária: sn_ti_maliciosa_attachment_access (upload)

    Carregar os observáveis de tipo de arquivo:

    • Automaticamente: quando os incidentes de segurança são criados para os e-mails de phishing, os anexos no e-mail de phishing são criados como observáveis do tipo de arquivo.

    • Manualmente: um analista de segurança também pode carregar os arquivos suspeitos para criar observáveis de tipo de arquivo.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode criar e exibir observáveis de tipo de arquivo para um incidente de segurança. Os arquivos suspeitos que fazem parte dos observáveis são armazenados em um local específico, que pode ser acessado pelo analista de segurança para baixar o arquivo somente com uma função específica.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Selecione Observáveis na guia Mostrar todas as listas relacionadas.

      Se houver anexos no e-mail de phishing, por padrão, esses anexos serão criados como observáveis do tipo de arquivo no incidente de segurança correspondente. Cada anexo é criado como dois observáveis, como tipo de arquivo e observável de hash de arquivo.

    3. Para carregar os anexos seguros manualmente:
      • Clique em Carregar anexo seguro.
      • Em Carregar anexos seguros, clique em Escolher arquivo para carregar um ou mais arquivos. Cada arquivo é considerado como um único registro de observável.
      • Clique em Criar observáveis de arquivo para criar os observáveis de tipo de arquivo, como um é o tipo de arquivo e o outro é o hash do arquivo, que é um identificador exclusivo.
      Figura 1. Observáveis de tipo de arquivo

      Esta imagem descreve o conteúdo do arquivo dos observáveis.
      Selecione o tipo de arquivo observável a ser processado para futuras integrações, como área restrita, pesquisa de ameaças. Além disso, você também pode baixar os anexos do observável tipo de arquivo.
      Nota:
      A pesquisa de ameaças (VirusTotal) recupera o arquivo dos anexos protegidos para os novos observáveis de tipo de arquivo e as propriedades do sistema abaixo não são aplicáveis aos novos observáveis de tipo de arquivo.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Para uma referência rápida, o observável de tipo de arquivo é mapeado como secundário para o observável de hash e o observável de hash é mapeado como secundário para o observável de arquivo.

      Se os anexos de e-mail de phishing excederem o tamanho definido, os observáveis não serão criados. Você deve modificar as propriedades do sistema para oferecer suporte a arquivos de tamanho maior.
      Tabela 1. Propriedades do sistema de tamanho de arquivo
      Propriedade do sistema Descrição
      glide.email.inbound.max_total_attachment_size_bytes Se você estiver encaminhando o e-mail de phishing diretamente, use este valor de propriedades do sistema para aumentar o tamanho do arquivo de 18 MB para o tamanho desejado.
      com.glide.attachment.max_get_size Se você estiver encaminhando o e-mail de phishing como um anexo, use este valor de propriedade do sistema para criar as propriedades do sistema abaixo no escopo global para aumentar o tamanho do arquivo de 5 MB para o tamanho desejado.
      Você também pode criar um novo observável de tipo de arquivo da seguinte forma:
      1. Clique em Nova.
      2. Selecione a categoria do tipo de observável: arquivo
      3. Clique em Carregar para anexar um arquivo.