الصندوق الرمل هو بيئة يمكن فيها تنفيذ وتحليل الملفات بأمان لتوفير حماية متقدمة ضد التهديدات. يوفر هذا المقال شرحًا للصندوق الرمل وتفاصيل كيفية تمكينه.
الصندوق الرمل هو بيئة معزولة وآمنة وافتراضية يمكن فيها تنفيذ وتحليل الملفات التي قد تكون خبيثة دون مخاطر على شبكتك. يوفر هذا تحليلًا جنائيًا متعمقًا لتحقيق شامل حول البرمجيات الضارة.
بمجرد تنفيذ وتحليل ملف في الصندوق الرمل، يتم إنشاء تقرير شامل ويكون متاحًا للتنزيل في CMA. يتضمن هذا التقرير تحليلًا ثابتًا وديناميكيًا يقدم رؤية كاملة عن المخاطر المحتملة للملف. لمزيد من المعلومات، انظر فهم تقرير تحليل الصندوق الرمل,
الصندوق الرمل متاح فقط بترخيص حماية التهديدات المتقدمة. لمزيد من المعلومات، تواصل مع ممثل المبيعات الخاص بك.
أي ملف تحدده سياسة مكافحة البرمجيات الضارة على أنه ضار أو مشبوه يتم مسحه تلقائيًا في الصندوق الرمل. بمجرد تمكين البيئة التجريبية، يتغير الإجراء للقواعد الافتراضية ANY - ANY لحظر الملفات المريبة والضارة إلى حظر & الفحص.
يمكنك أيضًا تحميل ملفات محددة ليتم مسحها في الصندوق الرمل.
يتم مسح الملفات في بيئة نظام تشغيل Windows 10 افتراضية.
في الصندوق الرمل، يتم مسح الملفات باستخدام التحليل الثابت والديناميكي. هذا يضمن الكشف الأوسع عن التهديدات المعروفة والمجهولة.
يستخدم التحليل الثابت نماذج التعلم الآلي (ML) للكشف عن التهديدات من خلال تحليل خصائص الملف دون تنفيذ. التحليل الثابت للصندوق الرمل:
- تحليل بيانات ومعلومات الملف.
- الاكتشاف الفوري للتهديدات المعروفة استنادًا إلى التوقيعات وعمليات الملف وترويسات PE والخصائص السلوكية.
ينفذ التحليل الديناميكي الملفات في البيئة المعزولة لمراقبة سلوكها والكشف عن الأنشطة الخبيثة. التحليل الديناميكي للصندوق الرمل:
- مراقبة سلوك الملف في الوقت الفعلي لتحديد التهديدات المراوغة أو غير المعروفة.
- يكتشف البرامج الضارة المتقدمة، بما في ذلك التهديدات متعددة الأشكال التي تتجنب الاكتشاف في التحليل الثابت.
شركة ABC تعتمد على حلول مكافحة البرمجيات الضارة التي تقتصر على الكشف فقط. هذا لا يوفر رؤية عن كيفية عمل التهديدات ويمنعهم من فهم تكتيكات الهجوم، وسلوك الحمولة، أو التأثيرات المحتملة على النظام بشكل كامل.
لمعالجة ذلك، يقومون بتمكين الصندوق الرمل لتعزيز قدراتهم في تحليل التهديدات. عندما يتم اكتشاف ملف مشبوه، يتم إرساله تلقائيًا إلى بيئة الصندوق الرمل لتحليله ثابتًا وديناميكيًا. يراقب الصندوق الرمل الأنشطة مثل الاتصالات غير المتوقعة بالشبكة، ومحاولات تعديل الملفات الحرجة، أو جهود تصعيد الامتيازات.
من تقرير المسح يمكن للشركة:
- تحقيق في الأسباب الجذرية برؤى معمقة.
- فهم التأثير الكامل للهجوم على أنظمتهم.
- تعين السلوكيات على الأطر مثل MITRE ATT&CK للاستجابة المنظمة.
باستخدام ميزة الصندوق الرمل، يقلل من متوسط الوقت للكشف والوقت للاستجابة، ويقوي بدوره وضعهم الأمني الكلي.
تلقى موظف في شركة ABC بريدًا إلكترونيًا مع ملف مشبوه تم حظره بواسطة سياسة مكافحة البرمجيات الضارة الخاصة بهم. يتصل الموظف بفريق أمن المعلومات ويطالب بأن الملف آمن وأنهم بحاجة إلى الوصول إليه.
قبل أن يوفروا للموظف الوصول إلى الملف، يقومون برفعه إلى الصندوق الرمل ليتم تنفيذه في بيئة محكمة التحكم.
حددت التحليل الديناميكي في الصندوق الرمل أن الملف حاول تقنيات تصعيد الامتيازات وله حكم خبيث. لا يوفر فريق تقنية المعلومات الوصول إلى الملف ويتجنب هجومًا محتملاً.
يتم تمكين هذا الصندوق الرمل من سياسة مكافحة البرمجيات الضارة.
يمكنك التحقيق وتحليل ملف معين تعتقد أنه مشبوه عن طريق تحميله يدويًا إلى الصندوق الرمل. بعد تحميل الملف يتم إنشاء تقرير.
اختبار ال Sandbox
لاختبار الصندوق الرمل، وتلقي تقرير مثال، قم برفع ملف zip الموجود في نهاية هذا المقال إلى الصندوق الرمل يدويًا. هذا الملف هو ملف اختبار البرمجيات الضارة.
متطلبات ملف الصندوق الرمل
يدعم الصندوق الرمل أنواع الملفات التالية:
- PE / 32 بت & 64 بت، EXE & DLL
- مستندات Office / تنسيقات OLE و Open XML
- مستندات RTF
- مستندات PDF
- برمجيات / JavaScript (JS/JSE/WSF)، لغة البرمجة Visual Basic (VBS/VBE)، PowerShell
- Java / ملفات JAR
- اختصارات Windows / ملفات LNK و URL
- Windows batch / ملفات BAT
- أنواع الأرشفة أو الضغط:
- أرشيف 7-zip
- أرشيف ace
- أرشيف arj
- ضغط bzip2
- ضغط gzip
- أرشيف lha 1.x & 2.x
- أرشيف خزانة Microsoft
- أرشيف tar
- أرشيف posix tar
- أرشيف rar
- ضغط xz
- أرشيف zip
- iso 9660 قرص مضغوط
.app (macOS يدعم فقط التحليل الثابت)
.dmg (macOS يدعم فقط التحليل الثابت)
- Cato_Sandbox_Test_File_manual.zip4 ميجابايت
لا توجد تعليقات
المقال مغلق أمام التعليقات.