サンドボックス環境でファイルをスキャン

サンドボックス環境は、ファイルを安全に実行および分析し、高度な脅威保護を提供するための環境です。 この記事では、サンドボックス環境の説明とその有効化方法について詳述しています。

概要

サンドボックス環境は、潜在的に悪意のあるファイルを実行および分析するための、隔離された安全な仮想環境です。これにより、ネットワークをリスクにさらすことなく使用できます。 これは包括的なマルウェア調査のための詳細なフレンジック分析を提供します。

ファイルがサンドボックス環境で実行および分析されると、包括的なレポートが生成され、CMAでダウンロード可能になります。 このレポートは、静的分析と動的分析の両方を含み、ファイルの潜在的なリスクの完全なビューを提供します。 詳細については、Understanding the Sandbox Analysis Reportを参照してください,

サンドボックス環境は、高度な脅威保護ライセンスと共にのみ利用可能です。 詳細については、営業担当者にお問い合わせください。

サンドボックス環境でファイルをスキャン

Anti-Malwareポリシーが、疑わしいまたは悪意のあるファイルとして識別した任意のファイルは、自動でサンドボックス環境でスキャンされます。 サンドボックス環境を有効化すると、デフォルトの ANY - ANY ルール が、疑わしいおよび悪意のあるファイルをブロックするアクションにブロック & スキャンに変わります。

特定のファイルをサンドボックス環境でスキャンするためにアップロードすることもできます。

ファイルは仮想Windows 10 OS環境でスキャンされます。

静的および動的分析の理解

サンドボックス環境では、ファイルは静的および動的分析でスキャンされます。 これにより、既知および未知の両方の脅威をより広範囲に検出できます。

静的分析

静的分析では、ファイルの特性を実行せずに分析することで、脅威を検出するために機械学習(ML)モデルを活用します。 サンドボックス環境の静的分析:

  • ファイルメタデータと埋め込み属性をスキャン

  • 署名、ファイル操作、PEヘッダー、行動特性に基づいて既知の脅威を迅速に検出

動的分析

動的分析では、ファイルを隔離された環境で実行して、その動作を観察し、悪意のあるアクティビティを検出します。 サンドボックス環境の動的分析:

  • ファイルの実際の動作をリアルタイムで観察して、回避的または未知の脅威を特定

  • 静的分析では検出されない多様な脅威を含む高度なマルウェアを検出

使用例

詳細なフォレンジック分析

会社ABC'sは、検出のみのマルウェア対策ソリューションに依存しています。 これにより、脅威がどのように動作するかの可視性が得られず、攻撃戦術、ペイロードの挙動、または潜在的なシステムへの影響を完全に理解することを妨げます。

これに対処するために、彼らは脅威分析能力を強化するためにサンドボックス環境を有効化します。 疑わしいファイルが検出されると、それは自動的に静的および動的分析のためにサンドボックス環境に送信されます。 サンドボックス環境は、予期せぬネットワーク接続、クリティカルファイルの変更試行、または権限昇格の試みなどの活動を監視します。

スキャンレポートから会社は次のことができます:

  • 詳細な洞察を伴う根本原因を調査

  • 攻撃がシステムに与える全体的な影響を理解

  • 構造化された対応のために、MITRE ATT&CKのようなフレームワークに行動をマップ。

サンドボックス環境を使用することで、平均検出時間と平均応答時間が短縮され、全体的なセキュリティ姿勢が強化されます。

管理された環境で疑わしいファイルをテスト

会社ABCの従業員が疑わしいファイルを含むメールを受信し、それがAnti-Malwareポリシーによってブロックされました。 従業員がITセキュリティチームに連絡し、ファイルは安全であり、アクセスが必要であると主張します。

従業員にファイルへのアクセスを提供する前に、それをサンドボックス環境にアップロードし、管理された環境で実行できるようにします。

サンドボックス環境の動的分析により、そのファイルが権限昇格技術を試み、悪意のある判定を受けました。 ITチームはファイルへのアクセスを提供せず、潜在的な攻撃を回避しました。

サンドボックス環境の有効化

サンドボックス環境は、Anti-Malwareポリシーから有効化されます。

サンドボックス.png

サンドボックス環境を有効化するには:

  1. ナビゲーションメニューから、セキュリティ > アンチマルウェア をクリックします。

  2. サンドボックストグルを有効化してください。

サンドボックス環境で特定のファイルをスキャン

疑わしいと思われる特定のファイルを手動でサンドボックス環境にアップロードすることで、調査および分析することができます。 ファイルをアップロードした後、レポートが生成されます。

サンドボックス環境_manual.png

特定のファイルをスキャンするには:

  1. ナビゲーションメニューから、セキュリティ > サンドボックスレポートをクリック。

  2. ファイルをアップロード & レポート生成をクリック。

    ファイルをアップロードパネルが開きます。

  3. スキャンしたいファイルをアップロードします。

  4. ファイルをアップロード & レポート生成をクリック。

 

サンドボックス環境のテスト

サンドボックス環境をテストするために、この記事の最下部のzipファイルを手動でサンドボックス環境へアップロードし、例のレポートを受け取ります。 このファイルはマルウェアテストファイルです。 

サンドボックス環境のファイル要件

サンドボックス環境は、以下のファイルタイプをサポートします:

  • PE / 32ビット & 64ビット, EXE & DLL 

  • Officeドキュメント / OLE & Open XML形式 

  • RTFドキュメント 

  • PDFドキュメント 

  • スクリプト / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell 

  • Java / JARファイル 

  • Windows ショートカット / LNK & URLファイル 

  • Windows バッチ / BATファイル 

  • アーカイブまたは圧縮タイプ: 

  • 7-zipアーカイブ 

  • ace アーカイブ 

  • arj アーカイブ 

  • bzip2 圧縮 

  • gzip 圧縮 

  • lha 1.x & 2.x アーカイブ 

  • Microsoft キャビネット アーカイブ 

  • tar アーカイブ 

  • posix tar アーカイブ 

  • rar アーカイブ 

  • xz 圧縮 

  • zip アーカイブ 

  • iso 9660 cd-rom

既知の制限

  • ファイルが100MBを超えるとサポートされていません

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント