サンドボックス環境でファイルをスキャン

サンドボックス環境は、ファイルを安全に実行および分析し、高度な脅威保護を提供するための環境です。 この記事では、サンドボックス環境の説明とその有効化方法について詳述しています。

概要

サンドボックス環境は、潜在的に悪意のあるファイルを実行および分析するための、隔離された安全な仮想環境です。これにより、ネットワークをリスクにさらすことなく使用できます。 これは包括的なマルウェア調査のための詳細なフレンジック分析を提供します。

ファイルがサンドボックス環境で実行および分析されると、包括的なレポートが生成され、CMAでダウンロード可能になります。 このレポートは、静的分析と動的分析の両方を含み、ファイルの潜在的なリスクの完全なビューを提供します。 詳細情報はサンドボックス環境分析レポートの理解を参照してください,

サンドボックス環境は、高度な脅威保護ライセンスと共にのみ利用可能です。 詳細については、営業担当者にお問い合わせください。

サンドボックス環境でファイルをスキャン

Anti-Malwareポリシーが、疑わしいまたは悪意のあるファイルとして識別した任意のファイルは、自動でサンドボックス環境でスキャンされます。 サンドボックス環境を有効化すると、疑わしいおよび悪意のあるファイルをブロックするためのデフォルトの ANY - ANY ルールのアクションがブロック & スキャンに変更されます。

特定のファイルをサンドボックス環境でスキャンするためにアップロードすることもできます。

ファイルは仮想Windows 10 OS環境でスキャンされます。

静的および動的分析の理解

サンドボックス環境では、ファイルは静的および動的分析でスキャンされます。 これにより、既知および未知の両方の脅威をより広範囲に検出できます。

静的分析

静的分析では、ファイルの特性を実行せずに分析することで、脅威を検出するために機械学習(ML)モデルを活用します。 サンドボックス環境の静的分析:

  • ファイルのメタデータと埋め込まれた属性をスキャン
  • シグネチャ、ファイル操作、PEヘッダー、振る舞いの特徴に基づいて、既知の脅威を迅速に検出

動的分析

動的分析では、ファイルを隔離された環境で実行して、その動作を観察し、悪意のあるアクティビティを検出します。 サンドボックス環境の動的分析:

  • ファイルの振る舞いをリアルタイムで観察し、回避的または未知の脅威を特定
  • 高度なマルウェア(特にポリモーフィズムの脅威を含む)を検出します。これには、静的分析を回避するものも含まれます。

使用例

詳細なフォレンジック分析

会社ABC'sは、検出のみのマルウェア対策ソリューションに依存しています。 これにより、脅威がどのように動作するかの可視性が得られず、攻撃戦術、ペイロードの挙動、または潜在的なシステムへの影響を完全に理解することを妨げます。

これに対処するために、彼らは脅威分析能力を強化するためにサンドボックス環境を有効化します。 疑わしいファイルが検出されると、それは自動的に静的および動的分析のためにサンドボックス環境に送信されます。 サンドボックス環境は、予期せぬネットワーク接続、クリティカルファイルの変更試行、または権限昇格の試みなどの活動を監視します。

スキャンレポートから会社は次のことができます:

  • 根本原因を詳細インサイトで調査します。
  • 攻撃がシステムに与える全体的な影響を理解します。
  • MITRE ATT&CKなどのフレームワークに行動をマッピングし、構造化された対応を行います。

サンドボックス環境を使用することで、平均検出時間と平均応答時間が短縮され、全体的なセキュリティ姿勢が強化されます。

管理された環境で疑わしいファイルをテスト

会社ABCの従業員が疑わしいファイルを含むメールを受信し、それがAnti-Malwareポリシーによってブロックされました。 従業員がITセキュリティチームに連絡し、ファイルは安全であり、アクセスが必要であると主張します。

従業員にファイルへのアクセスを提供する前に、それをサンドボックス環境にアップロードし、管理された環境で実行できるようにします。

サンドボックス環境の動的分析により、そのファイルが権限昇格技術を試み、悪意のある判定を受けました。 ITチームはファイルへのアクセスを提供せず、潜在的な攻撃を回避しました。

サンドボックス環境の有効化

サンドボックス環境は、Anti-Malwareポリシーから有効化されます。

サンドボックス.png

サンドボックス環境を有効化するには:

  1. ナビゲーションメニューから、セキュリティ > マルウェア対策をクリックします。
  2. サンドボックス環境トグルを有効化する。

サンドボックス環境で特定のファイルをスキャン

疑わしいと思われる特定のファイルを手動でサンドボックス環境にアップロードすることで、調査および分析することができます。 ファイルをアップロードした後、レポートが生成されます。

サンドボックス環境_manual.png

特定のファイルをスキャンするには:

  1. ナビゲーションメニューから、セキュリティ > サンドボックスレポートをクリックします。

  2. ファイルをアップロード & レポート生成をクリック。

    ファイルをアップロードパネルが開きます。

  3. スキャンしたいファイルをアップロードします。
  4. ファイルをアップロードしてレポートを生成をクリックします。

 

サンドボックス環境のテスト

サンドボックス環境をテストするために、この記事の最下部のzipファイルを手動でサンドボックス環境へアップロードし、例のレポートを受け取ります。 このファイルはマルウェアテストファイルです。 

サンドボックス環境のファイル要件

サンドボックス環境は、以下のファイルタイプをサポートします:

  • PE / 32ビット & 64ビット、EXE & DLL 
  • オフィス文書 / OLE & オープンXML形式 
  • RTF文書 
  • PDF文書 
  • スクリプト / Javascript (JS/JSE/WSF)、Visual Basic Script (VBS/VBE)、PowerShell 
  • Java / JARファイル 
  • Windowsショートカット / LNK & URLファイル 
  • Windowsバッチ / BATファイル 
  • アーカイブまたは圧縮タイプ: 
  • 7-zipアーカイブ 
  • aceアーカイブ 
  • arjアーカイブ 
  • bzip2圧縮 
  • gzip圧縮 
  • lha 1.x & 2.x アーカイブ 
  • Microsoftキャビネットアーカイブ 
  • tarアーカイブ 
  • posix tarアーカイブ 
  • rarアーカイブ 
  • xz圧縮 
  • zipアーカイブ 
  • iso 9660 cd-rom

  • .app (macOSは静的分析のみでサポート)  

  • .dmg (macOSは静的分析のみでサポート)  

既知の制限

  • ファイルが100MBを超えるとサポートされていません

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント