El Entorno de prueba es un entorno donde los archivos pueden ejecutarse y analizarse de manera segura para proporcionar protección avanzada contra amenazas. Este artículo proporciona una explicación del Entorno de prueba y detalla cómo habilitarlo.
El Entorno de prueba es un entorno aislado, seguro y virtual donde se ejecutan y analizan archivos potencialmente maliciosos sin riesgo para su red. Esto proporciona un análisis forense detallado para una investigación completa de malware.
Una vez que un archivo se ejecuta y analiza en el Entorno de prueba, se genera un informe completo y se pone a disposición para descargar en el CMA. Este informe incluye tanto análisis estático como dinámico, ofreciendo una vista completa del riesgo potencial del archivo. Para más información, consulte Understanding the Sandbox Analysis Report,
El Entorno de prueba solo está disponible con una Licencia de Protección contra Amenazas Avanzadas. Para más información, contacte a su representante de ventas.
Cualquier archivo que la política Anti-Malware identifique como malicioso o sospechoso se escanea automáticamente en el Entorno de prueba. Una vez que habilita el Entorno de prueba, la acción para las reglas predeterminadas ANY - ANY de bloqueo de archivos sospechosos y maliciosos cambia a Bloquear y Escanear.
También puede cargar archivos específicos para escanear en el Entorno de prueba.
Los archivos se escanean en un entorno virtual de sistema operativo Windows 10.
En el Entorno de prueba, los archivos se escanean con análisis estático y dinámico. Esto asegura una detección más amplia de amenazas conocidas y desconocidas.
El análisis estático aprovecha los modelos de aprendizaje automático (ML) para detectar amenazas analizando propiedades de archivos sin ejecución. El análisis estático del Entorno de prueba:
- Escanea los metadatos de archivos y atributos incrustados
- Detecta rápidamente amenazas conocidas basadas en firmas, operaciones de archivos, cabeceras PE y rasgos de comportamiento
El análisis dinámico ejecuta los archivos en el entorno aislado para observar su comportamiento y detectar actividad maliciosa. El análisis dinámico del Entorno de prueba:
- Observa el comportamiento del archivo en tiempo real para identificar amenazas evasivas o desconocidas
- Detecta malware avanzado, incluidas amenazas polimórficas que evitan la detección en análisis estático.
La empresa ABC's se basa en soluciones anti-malware solo de detección. Esto no proporciona visibilidad sobre cómo opera una amenaza y les impide entender completamente las tácticas de ataque, el comportamiento de la carga útil o los posibles impactos del sistema.
Para abordar esto, activan el Entorno de prueba para mejorar sus capacidades de análisis de amenazas. Cuando se detecta un archivo sospechoso, se envía automáticamente al entorno de prueba para el análisis Estático y Dinámico. El Entorno de prueba supervisa actividades como conexiones de red inesperadas, intentos de modificar archivos críticos o esfuerzos de escalada de privilegios.
A partir del informe de escaneo, la empresa puede:
- Investigue las causas raíz con información en profundidad.
- Comprender el impacto total del ataque en sus sistemas.
- Mapea el comportamiento a marcos como MITRE ATT&CK para una respuesta estructurada.
Usando la función de Entorno de prueba, se reduce el Tiempo Medio para Detectar y el Tiempo Medio para Responder, y fortalece su postura general de seguridad.
Un empleado de la empresa ABC recibió un correo electrónico con un archivo sospechoso que está bloqueado por su política Anti-Malware. El empleado contacta al equipo de seguridad informática afirmando que el archivo es seguro y que requieren acceso a él.
Antes de proporcionar al empleado acceso al archivo, lo cargan en el Entorno de prueba para que pueda ser ejecutado en un entorno controlado.
El análisis Dinámico en el Entorno de prueba identificó que el archivo intentó técnicas de escalada de privilegios y tiene un veredicto malicioso. El equipo de TI no proporciona acceso al archivo y evita un ataque potencial.
Este Entorno de prueba se habilita desde la Política Anti-Malware.
Puedes investigar y analizar un archivo específico que crees sospechoso cargándolo manualmente en el entorno de prueba. Después de cargar el archivo, se genera un informe.
Prueba del Entorno de prueba
Para probar el Entorno de prueba y recibir un Informe de Ejemplo, sube manualmente el archivo zip en la parte Inferior de este artículo al Entorno de prueba. Este archivo es un archivo de prueba de Malware.
Requisitos de Archivos para el Entorno de prueba
El Entorno de prueba admite los siguientes tipos de archivos:
- PE / 32-bit & 64-bit, EXE & DLL
- Documentos de Office / formatos OLE & XML abierto
- Documentos RTF
- Documentos PDF
- Scripts / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell
- Java / Archivos JAR
- Accesos directos de Windows / Archivos LNK & URL
- Lotes de Windows / Archivos BAT
- Tipos de archivo de compresión o archivado:
- archivo 7-zip
- archivo ace
- archivo arj
- comprimido bzip2
- comprimido gzip
- archivo lha 1.x & 2.x
- archivo del gabinete de Microsoft
- archivo tar
- archivo tar posix
- archivo rar
- comprimido xz
- archivo zip
- iso 9660 cd-rom
.app (compatibilizado por macOS solo para análisis estático)
.dmg (compatibilizado por macOS solo para análisis estático)
0 comentarios
El artículo está cerrado para comentarios.