Escaneando Archivos en el Entorno de prueba

El Entorno de prueba es un entorno donde los archivos pueden ejecutarse y analizarse de manera segura para proporcionar protección avanzada contra amenazas. Este artículo proporciona una explicación del Entorno de prueba y detalla cómo habilitarlo.

Visión General

El Entorno de prueba es un entorno aislado, seguro y virtual donde se ejecutan y analizan archivos potencialmente maliciosos sin riesgo para su red. Esto proporciona un análisis forense detallado para una investigación completa de malware.

Una vez que un archivo se ejecuta y analiza en el Entorno de prueba, se genera un informe completo y se pone a disposición para descargar en el CMA. Este informe incluye tanto análisis estático como dinámico, ofreciendo una vista completa del riesgo potencial del archivo. Para más información, consulte Understanding the Sandbox Analysis Report,

El Entorno de prueba solo está disponible con una Licencia de Protección contra Amenazas Avanzadas. Para más información, contacte a su representante de ventas.

Escaneando Archivos con el Entorno de prueba

Cualquier archivo que la política Anti-Malware identifique como malicioso o sospechoso se escanea automáticamente en el Entorno de prueba. Una vez que habilita el Sandbox, la Acción para las reglas predeterminadas ANY - ANY de bloqueo de archivos sospechosos y maliciosos cambia a Bloquear & Escanear.

También puede cargar archivos específicos para escanear en el Entorno de prueba.

Los archivos se escanean en un entorno virtual de sistema operativo Windows 10.

Entendiendo el Análisis Estático y Dinámico

En el Entorno de prueba, los archivos se escanean con análisis estático y dinámico. Esto asegura una detección más amplia de amenazas conocidas y desconocidas.

Análisis Estático

El análisis estático aprovecha los modelos de aprendizaje automático (ML) para detectar amenazas analizando propiedades de archivos sin ejecución. El análisis estático del Entorno de prueba:

Escanea los metadatos de archivos y atributos incorporados
Detecta rápidamente amenazas conocidas basadas en firmas, operaciones de archivos, encabezados PE y características de comportamiento

Análisis Dinámico

El análisis dinámico ejecuta los archivos en el entorno aislado para observar su comportamiento y detectar actividad maliciosa. El análisis dinámico del Entorno de prueba:

Observa el comportamiento del archivo en tiempo real para identificar amenazas evasivas o desconocidas
Detecta malware avanzado, incluidas amenazas polimórficas que evitan la detección en análisis estático

Casos de Uso

Análisis Forense Detallado

La empresa ABC's se basa en soluciones anti-malware solo de detección. Esto no proporciona visibilidad sobre cómo opera una amenaza y les impide entender completamente las tácticas de ataque, el comportamiento de la carga útil o los posibles impactos del sistema.

Para abordar esto, activan el Entorno de prueba para mejorar sus capacidades de análisis de amenazas. Cuando se detecta un archivo sospechoso, se envía automáticamente al entorno de prueba para el análisis Estático y Dinámico. El Entorno de prueba supervisa actividades como conexiones de red inesperadas, intentos de modificar archivos críticos o esfuerzos de escalada de privilegios.

A partir del informe de escaneo, la empresa puede:

Investigar las causas raíz con perspectivas detalladas
Entender el impacto completo del ataque en sus sistemas
Mapear el comportamiento a marcos como MITRE ATT&CK para una respuesta estructurada.

Usando la función de Entorno de prueba, se reduce el Tiempo Medio para Detectar y el Tiempo Medio para Responder, y fortalece su postura general de seguridad.

Probando Archivos Sospechosos en un Entorno Controlado

Un empleado de la empresa ABC recibió un correo electrónico con un archivo sospechoso que está bloqueado por su política Anti-Malware. El empleado contacta al equipo de seguridad informática afirmando que el archivo es seguro y que requieren acceso a él.

Antes de proporcionar al empleado acceso al archivo, lo cargan en el Entorno de prueba para que pueda ser ejecutado en un entorno controlado.

El análisis Dinámico en el Entorno de prueba identificó que el archivo intentó técnicas de escalada de privilegios y tiene un veredicto malicioso. El equipo de TI no proporciona acceso al archivo y evita un ataque potencial.

Habilitando el Entorno de prueba

Este Entorno de prueba se habilita desde la Política Anti-Malware.

Para habilitar el Entorno de prueba:

Desde el menú de navegación, haz clic en Seguridad > Anti-Malware.
Activa el botón Entorno de prueba.

Escaneando Archivos Específicos en el Entorno de prueba

Puedes investigar y analizar un archivo específico que crees sospechoso cargándolo manualmente en el entorno de prueba. Después de cargar el archivo, se genera un informe.

Para escanear archivos específicos:

Desde el menú de navegación, haz clic en Seguridad > Informes de Sandbox.
Haz clic en Subir archivo & Generar informe.

Se abre el panel Subir archivo.
Sube el archivo que deseas escanear.
Haz clic en Subir archivo & Generar informe.

Probando el Entorno de prueba

Para probar el Entorno de prueba y recibir un Informe de Ejemplo, sube manualmente el archivo zip en la parte Inferior de este artículo al Entorno de prueba. Este archivo es un archivo de prueba de Malware.

Requisitos de Archivos para el Entorno de prueba

El Entorno de prueba admite los siguientes tipos de archivos:

PE / 32 bits & 64 bits, EXE & DLL
Documentos de Office / Formatos OLE & Open XML
Documentos RTF
Documentos PDF
Scripts / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell
Java / Archivos JAR
Atajos de Windows / Archivos LNK & URL
Set de comandos Windows / Archivos BAT
Tipos de archivos de compresión o archivo:
Archivo 7-zip
Archivo ace
Archivo arj
Compresión bzip2
Compresión gzip
Archivo lha 1.x & 2.x
Archivo de gabinete Microsoft
Archivo tar
Archivo tar posix
Archivo rar
Compresión xz
Archivo zip
iso 9660 cd-rom

Limitaciones conocidas

Los archivos que exceden 100MB no son compatibles

Cato_Sandbox_Test_File_manual.zip4 MB