Escaneando Arquivos no Sandbox

O Sandbox é um ambiente onde os arquivos podem ser executados e analisados com segurança para fornecer proteção avançada contra ameaças. Este artigo fornece uma explicação sobre o Sandbox e detalha como habilitá-lo.

Visão Geral

O Sandbox é um ambiente isolado, seguro e virtual, onde arquivos potencialmente maliciosos são executados e analisados sem risco para sua rede. Isso fornece uma análise forense aprofundada para uma investigação completa de malware.

Uma vez que um arquivo é executado e analisado no Sandbox, um relatório abrangente é gerado e disponível para download na CMA. Este relatório inclui tanto análise estática quanto dinâmica, oferecendo uma visão completa do risco potencial do arquivo. Para mais informações, veja Understanding the Sandbox Analysis Report,

O Sandbox está disponível apenas com uma Licença de Proteção contra Ameaças Avançadas. Para mais informações, contacte o seu representante de vendas.

Escaneando Arquivos com o Sandbox

Qualquer arquivo que a política Anti-Malware identificar como malicioso ou suspeito é automaticamente escaneado no Sandbox. Uma vez que você ativa o Sandbox, a Ação para as regras padrão ANY - ANY para bloquear arquivos suspeitos e maliciosos muda para Bloquear & Digitalizar.

Você também pode carregar arquivos específicos para escanear no Sandbox.

Os arquivos são escaneados em um ambiente virtual de SO Windows 10.

Compreendendo a Análise Estática e Dinâmica

No Sandbox, os arquivos são escaneados com análise estática e dinâmica. Isso garante uma detecção mais ampla de ameaças conhecidas e desconhecidas.

Análise Estática

A análise estática utiliza modelos de machine learning (ML) para detectar ameaças analisando as propriedades do arquivo sem execução. A análise estática do Sandbox:

  • Escaneia metadados de arquivos e atributos incorporados

  • Detecta rapidamente ameaças conhecidas com base em assinaturas, operações de arquivos, cabeçalhos PE e características comportamentais

Análise Dinâmica

A análise dinâmica executa os arquivos no ambiente isolado para observar seu comportamento e detectar atividades maliciosas. A análise dinâmica do Sandbox:

  • Observa o comportamento do arquivo em tempo real para identificar ameaças evasivas ou desconhecidas

  • Detecta malware avançado, incluindo ameaças polimórficas que evitam a detecção na análise estática

Casos de Uso

Análise Forense Aprofundada

A empresa ABC's depende de soluções anti-malware apenas de detecção. Isso não fornece visibilidade sobre como uma ameaça opera e os impede de entender completamente as táticas de ataque, o comportamento das cargas úteis ou os impactos potenciais no sistema.

Para resolver isso, eles ativam o Sandbox para melhorar suas capacidades de análise de ameaças. Quando um arquivo suspeito é detectado, ele é automaticamente enviado ao ambiente sandbox para análise Estática e Dinâmica. O Sandbox monitora atividades como conexões de rede inesperadas, tentativas de modificar arquivos críticos ou esforços de elevação de privilégio.

Com o relatório de verificação, a empresa pode:

  • Investigar causas raiz com insights profundos

  • Compreender o impacto total do ataque em seus sistemas

  • Mapear o comportamento para frameworks como o MITRE ATT&CK para uma resposta estruturada.

Usar o recurso Sandbox reduz o Tempo Médio de Detecção e o Tempo Médio de Resposta, e fortalece sua postura geral de segurança.

Testando Arquivos Suspeitos em um Ambiente Controlado

Um funcionário da empresa ABC recebeu um e-mail com um arquivo suspeito que foi bloqueado por sua política Anti-Malware. O funcionário entra em contato com a equipe de segurança de TI alegando que o arquivo é seguro e que eles precisam de acesso a ele.

Antes de fornecer acesso ao funcionário, eles enviam o arquivo para o Sandbox para que ele possa ser executado em um ambiente controlado.

A análise dinâmica no Sandbox identificou que o arquivo tentou técnicas de elevação de privilégio e recebeu um veredito malicioso. A equipe de TI não fornece acesso ao arquivo e evita um possível ataque.

Ativando o Sandbox

Este Sandbox é ativado a partir da política Anti-Malware.

Sandbox.png

Para ativar o Sandbox:

  1. From the navigation menu, click Security > Anti-Malware.

  2. Habilite a alternância Sandbox.

Escaneando Arquivos Específicos no Sandbox

Você pode investigar e analisar um arquivo específico que acredita ser suspeito, enviando-o manualmente para o sandbox. Após você enviar o arquivo, um relatório é gerado.

Sandbox_manual.png

Para escanear arquivos específicos:

  1. No menu de navegação, clique em Segurança > Relatórios do Sandbox.

  2. Clique em Carregar Arquivo & Gerar Relatório.

    O painel Carregar Arquivo é aberto.

  3. Envie o arquivo que deseja escanear.

  4. Clique em Carregar Arquivo & Gerar Relatório.

 

Teste do Sandbox

Para testar o Sandbox, e receber um exemplo de relatório, faça upload manual do arquivo zip na parte inferior deste artigo para o Sandbox. Este arquivo é um arquivo de teste de Malware. 

Requisitos de Arquivos para o Sandbox

O Sandbox suporta os seguintes tipos de arquivo:

  • PE / 32 bits & 64 bits, EXE & DLL 

  • Documentos do Office / Formatos OLE & Open XML 

  • Documentos RTF 

  • Documentos PDF 

  • Scripts / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell 

  • Java / Arquivos JAR 

  • Atalhos do Windows / Arquivos LNK & URL 

  • Arquivos de lote do Windows / Arquivos BAT 

  • Tipos de Arquivo de Compressão ou Arquivamento: 

  • Arquivo 7-zip 

  • ace archive 

  • arj archive 

  • bzip2 compressed 

  • gzip compressed 

  • lha 1.x & 2.x archive 

  • microsoft cabinet archive 

  • arquivo tar 

  • arquivo tar posix 

  • arquivo rar 

  • comprimido xz 

  • arquivo zip 

  • iso 9660 cd-rom

Limitações de Serviços Conhecidas

  • Arquivos excedendo 100MB não são suportados

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário