Escaneando Arquivos no Sandbox

O Sandbox é um ambiente onde os arquivos podem ser executados e analisados com segurança para fornecer proteção avançada contra ameaças. Este artigo fornece uma explicação sobre o Sandbox e detalha como habilitá-lo.

Visão Geral

O Sandbox é um ambiente isolado, seguro e virtual, onde arquivos potencialmente maliciosos são executados e analisados sem risco para sua rede. Isso fornece uma análise forense aprofundada para uma investigação completa de malware.

Uma vez que um arquivo é executado e analisado no Sandbox, um relatório abrangente é gerado e disponível para download na CMA. Este relatório inclui tanto análise estática quanto dinâmica, oferecendo uma visão completa do risco potencial do arquivo. Para mais informações, veja Compreendendo o Relatório de Análise do Sandbox,

O Sandbox está disponível apenas com uma Licença de Proteção contra Ameaças Avançadas. Para mais informações, contacte o seu representante de vendas.

Escaneando Arquivos com o Sandbox

Qualquer arquivo que a política Anti-Malware identificar como malicioso ou suspeito é automaticamente escaneado no Sandbox. Uma vez que você ativa o Sandbox, a Ação para as regras padrão ANY - ANY para bloquear arquivos suspeitos e maliciosos muda para Bloquear & Digitalizar.

Você também pode carregar arquivos específicos para escanear no Sandbox.

Os arquivos são escaneados em um ambiente virtual de SO Windows 10.

Compreendendo a Análise Estática e Dinâmica

No Sandbox, os arquivos são escaneados com análise estática e dinâmica. Isso garante uma detecção mais ampla de ameaças conhecidas e desconhecidas.

Análise Estática

A análise estática utiliza modelos de machine learning (ML) para detectar ameaças analisando as propriedades do arquivo sem execução. A análise estática do Sandbox:

  • Escanear metadados do arquivo e atributos incorporados
  • Detecta rapidamente ameaças conhecidas com base em assinaturas, operações de arquivos, cabeçalhos PE e características comportamentais

Análise Dinâmica

A análise dinâmica executa os arquivos no ambiente isolado para observar seu comportamento e detectar atividades maliciosas. A análise dinâmica do Sandbox:

  • Observa o comportamento do arquivo em tempo real para identificar ameaças evasivas ou desconhecidas
  • Detecta malware avançado, incluindo ameaças polimórficas que evitam detecção em análise estática

Casos de Uso

Análise Forense Aprofundada

A empresa ABC's depende de soluções anti-malware apenas de detecção. Isso não fornece visibilidade sobre como uma ameaça opera e os impede de entender completamente as táticas de ataque, o comportamento das cargas úteis ou os impactos potenciais no sistema.

Para resolver isso, eles ativam o Sandbox para melhorar suas capacidades de análise de ameaças. Quando um arquivo suspeito é detectado, ele é automaticamente enviado ao ambiente sandbox para análise Estática e Dinâmica. O Sandbox monitora atividades como conexões de rede inesperadas, tentativas de modificar arquivos críticos ou esforços de elevação de privilégio.

Com o relatório de verificação, a empresa pode:

  • Investigar causas raiz com insights profundos
  • Entender o impacto completo do ataque nos seus sistemas
  • Mapear o comportamento para estruturas como MITRE ATT&CK para uma resposta estruturada.

Usar o recurso Sandbox reduz o Tempo Médio de Detecção e o Tempo Médio de Resposta, e fortalece sua postura geral de segurança.

Testando Arquivos Suspeitos em um Ambiente Controlado

Um funcionário da empresa ABC recebeu um e-mail com um arquivo suspeito que foi bloqueado por sua política Anti-Malware. O funcionário entra em contato com a equipe de segurança de TI alegando que o arquivo é seguro e que eles precisam de acesso a ele.

Antes de fornecer acesso ao funcionário, eles enviam o arquivo para o Sandbox para que ele possa ser executado em um ambiente controlado.

A análise dinâmica no Sandbox identificou que o arquivo tentou técnicas de elevação de privilégio e recebeu um veredito malicioso. A equipe de TI não fornece acesso ao arquivo e evita um possível ataque.

Ativando o Sandbox

Este Sandbox é ativado a partir da política Anti-Malware.

Sandbox.png

Para ativar a Sandbox:

  1. No menu de navegação, clique Segurança > Anti-Malware.
  2. Ative o botão Sandbox.

Escaneando Arquivos Específicos no Sandbox

Você pode investigar e analisar um arquivo específico que acredita ser suspeito, enviando-o manualmente para o sandbox. Após você enviar o arquivo, um relatório é gerado.

Sandbox_manual.png

Para escanear arquivos específicos:

  1. No menu de navegação, clique Segurança > Relatórios de Sandbox.

  2. Clique em Carregar Arquivo & Gerar Relatório.

    O painel Carregar Arquivo é aberto.

  3. Faça o upload do arquivo que deseja escanear.
  4. Clique Carregar Arquivo & Gerar Relatório.

 

Testando a Sandbox

Para testar o Sandbox, e receber um exemplo de relatório, faça upload manual do arquivo zip na parte inferior deste artigo para o Sandbox. Este arquivo é um arquivo de teste de Malware. 

Requisitos de Arquivos para o Sandbox

O Sandbox suporta os seguintes tipos de arquivo:

  • PE / 32-bit & 64-bit, EXE & DLL 
  • Documentos do Office / Formatos OLE & Open XML 
  • Documentos RTF 
  • Documentos PDF 
  • Scripts / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell 
  • Java / Arquivos JAR 
  • Atalhos do Windows / Arquivos LNK & URL 
  • Lote do Windows / Arquivos BAT 
  • Tipos de arquivo ou compressão: 
  • Arquivo 7-zip 
  • Arquivo ace 
  • Arquivo arj 
  • Comprimido bzip2 
  • Comprimido gzip 
  • Arquivo lha 1.x & 2.x 
  • Arquivo microsoft cabinet 
  • Arquivo tar 
  • Arquivo tar posix 
  • Arquivo rar 
  • Comprimido xz 
  • Arquivo zip 
  • iso 9660 cd-rom

  • .app (suportado por macOS apenas para análise estática)  

  • .dmg (suportado por macOS apenas para análise estática)  

Limitações de Serviços Conhecidas

  • Arquivos excedendo 100MB não são suportados

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário