샌드박스는 파일을 안전하게 실행하고 분석하여 고급 위협 방지를 제공하는 환경입니다. 이 문서에서는 샌드박스의 설명 및 활성화 방법을 다룹니다.
샌드박스는 잠재적으로 악성인 파일을 네트워크에 대한 위험 없이 실행하고 분석할 수 있는 격리된 안전한 가상 환경입니다. 이로 인해 포괄적인 멀웨어 조사를 위한 심층적인 포렌식 분석이 제공됩니다.
파일이 샌드박스에서 실행 및 분석되면, 포괄적인 보고서가 생성되어 CMA에서 다운로드 가능합니다. 이 보고서는 정적 및 동적 분석을 포함하여 파일의 잠재적인 위험에 대한 전체적인 개요를 제공합니다. 자세한 정보는 샌드박스 분석 보고서 이해하기를 참조하십시오,
샌드박스는 고급 위협 방지 라이선스가 있을 경우에만 사용 가능합니다. 자세한 정보는 영업 담당자에게 문의하십시오.
안티멀웨어 정책이 악성이거나 의심스러운 파일로 식별한 모든 파일은 자동으로 샌드박스에서 스캔됩니다. 샌드박스를 활성화하면, 의심스러움과 악의적인 파일을 차단하는 기본 ANY - ANY 규칙에 대한 조치가 차단 & 스캔으로 변경됩니다.
특정 파일을 스캔하기 위해 업로드할 수도 있습니다.
파일은 가상 Windows 10 OS 환경에서 스캔됩니다.
샌드박스에서 파일은 정적 및 동적 분석을 통해 스캔됩니다. 이는 알려진 및 미지의 위협을 광범위하게 탐지할 수 있도록 보장합니다.
정적 분석은 파일의 속성을 실행하지 않고 분석하여 위협을 탐지하기 위해 기계 학습(ML) 모델을 활용합니다. 샌드박스 정적 분석:
-
파일 메타데이터 그리고 포함됨 속성을 스캔합니다
-
서명, 파일 작업, PE 헤더 그리고 행동 기반 특성을 기반으로 위협 유형을 신속하게 감지합니다
회사 ABC는 탐지 전용 안티멀웨어 솔루션에 의존합니다. 이로 인해 위협이 어떻게 작동하는지에 대한 가시성을 제공하지 못하며 공격 전술, 페이로드 행동, 또는 잠재적인 시스템 영향을 완전히 이해하지 못합니다.
이를 해결하기 위해, 그들은 위협 분석 기능을 향상시키기 위해 샌드박스를 활성화합니다. 의심스러운 파일이 감지되면, 정적 및 동적 분석을 위해 자동으로 샌드박스 환경으로 전송됩니다. 샌드박스는 예기치 않은 네트워크 연결, 중요한 파일 수정을 시도하는 행위, 또는 권한 상승 노력과 같은 활동을 모니터링합니다.
스캔 보고서에서 회사는 다음을 할 수 있습니다:
-
심층적인 통찰력을 통해 근본 원인을 조사
-
공격이 시스템에 미치는 전체적인 영향을 이해
-
구조화된 대응을 위해 MITRE ATT&CK와 같은 프레임워크에 행동 기반을 매핑합니다.
샌드박스 기능을 사용하여 평균 탐지 시간 및 평균 대응 시간을 줄이고, 전체 보안 태세를 강화할 수 있습니다.
의심스러운 특정 파일을 수동으로 샌드박스에 업로드하여 조사 및 분석할 수 있습니다. 파일을 업로드한 후 보고서가 생성됩니다.
샌드박스를 테스트
샌드박스를 테스트하고 예시 보고서를 받으려면 이 글 하단의 zip 파일을 샌드박스에 수동으로 업로드하세요. 이 파일은 악성 소프트웨어 테스트 파일입니다.
샌드박스 파일 요구사항
샌드박스는 다음 파일 유형을 지원합니다:
-
PE / 32비트 & 64비트, EXE & DLL
-
Office 문서 / OLE & Open XML 형식
-
RTF 문서
-
PDF 문서
-
스크립트 / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell
-
Java / JAR 파일
-
Windows 바로 가기 / LNK & URL 파일
-
Windows 배치 / BAT 파일
-
아카이브 또는 압축 유형:
-
7-zip 아카이브
-
ace 아카이브
-
arj 아카이브
-
bzip2 압축
-
gzip 압축
-
lha 1.x & 2.x 아카이브
-
Microsoft 캐비닛 아카이브
-
tar 아카이브
-
posix tar 아카이브
-
rar 아카이브
-
xz 압축
-
zip 아카이브
-
iso 9660 CD-ROM
댓글 0개
이 문서에는 댓글을 달 수 없습니다.