Gerenciar observáveis de arquivo

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Gerenciar observáveis de arquivo fornece medidas de segurança rigorosas para armazenar os arquivos suspeitos e habilita os observáveis do tipo de arquivos para integração com a área restrita.

    Antes de Iniciar

    Função necessária: sn_ti_malicised_attachment_access (upload)

    Carregue observáveis do tipo de arquivo:

    • Automaticamente: Quando os incidentes de segurança são criados para os e-mails de phishing, os anexos no e-mail de phishing são criados como observáveis do tipo de arquivo.

    • Manualmente: Um analista de segurança também pode carregar os arquivos suspeitos para criar observáveis do tipo de arquivo.

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode criar e exibir observáveis de tipo de arquivo para um incidente de segurança. Os arquivos suspeitos que fazem parte dos observáveis são armazenados em um local específico, que pode ser acessado pelo analista de segurança para baixar o arquivo somente com uma função específica.

    Procedimento

    1. Navegue até um incidente de segurança.
    2. Selecione Observáveis em Mostrar todas as listas relacionadas guia.

      Se houver anexos no e-mail de phishing, por padrão, esses anexos serão criados como observáveis do tipo de arquivo no incidente de segurança correspondente. Cada anexo é criado como dois observáveis, como tipo de arquivo e observável de hash de arquivo.

    3. Para carregar os anexos seguros manualmente:
      • Clique em Carregar anexo seguro .
      • Em Carregar anexos seguros, clique em Escolha o arquivo para carregar um ou mais arquivos. Cada arquivo é considerado como um único registro observável.
      • Clique em Criar observáveis de arquivo para criar observáveis de tipo de arquivo, como um é o tipo de arquivo e outro é o hash de arquivo, que é um identificador exclusivo.
      Figura 1. Observáveis de tipo de arquivo

      Esta imagem descreve o conteúdo do arquivo dos observáveis.
      Selecione o tipo de arquivo observável a ser processado para integrações adicionais, como área restrita e pesquisa de ameaças. Além disso, você também pode baixar os anexos do tipo de arquivo observável.
      Nota:
      A pesquisa de ameaças (VirusTotal) recupera o arquivo dos anexos protegidos para os novos observáveis de tipo de arquivo e as propriedades do sistema abaixo não são aplicáveis aos novos observáveis de tipo de arquivo.
      • sn_ti.scan.delete_attachment_after_hash
      • sn_ti.scan.use_file_hash

      Para uma referência rápida, o tipo de arquivo observável é mapeado como secundário para o observável de hash e o observável de hash é mapeado como secundário para o observável de arquivo.

      Se os anexos de e-mail de phishing excederem mais do que o tamanho definido, os observáveis não serão criados. Você deve modificar as propriedades do sistema para oferecer suporte aos arquivos de tamanho maior.
      Tabela 1. Propriedades do sistema de tamanho de arquivo
      Propriedade do sistema Descrição
      glide.email.inbound.max_total_attachment_size_bytes Se você estiver encaminhando o e-mail de phishing diretamente, use este valor de propriedades do sistema para aumentar o tamanho do arquivo de 18 MB para o tamanho de arquivo desejado.
      .glide.attachment.max_get_size Se você estiver encaminhando o e-mail de phishing como um anexo, use este valor de propriedade do sistema para criar as propriedades do sistema abaixo no escopo global para aumentar o tamanho do arquivo de 5 MB para o tamanho desejado.
      Você também pode criar um novo tipo de arquivo observável da seguinte forma:
      1. Clique em Nova.
      2. Selecione Tipo de observável Categoria: Arquivo
      3. Clique em Upload para anexar um arquivo.