Сканирование файлов в Песочнице

Песочница — это среда, в которой файлы могут безопасно выполняться и анализироваться для обеспечения расширенной защиты от угроз. В этой статье приводится объяснение принципа работы Песочницы и объясняется, как ее включить.

Обзор

Песочница — это изолированная, защищённая и виртуальная среда, в которой потенциально вредоносные файлы выполняются и анализируются без риска для вашей сети. Это обеспечивает углубленный форензик-анализ для комплексного расследования вредоносных программ.

После выполнения и анализа файла в Песочнице создаётся подробный отчет, доступный для скачивания в CMA. Этот отчет включает как статический, так и динамический анализ, предоставляя полное представление о потенциальном риске файла. Для получения дополнительной информации, смотрите Понимание отчета анализа Тестовой среды,

Песочница доступна только с лицензией на Защиту от угроз. Для получения дополнительной информации, свяжитесь с вашим представителем по продажам.

Сканирование файлов с помощью Песочницы

Любой файл, который политика Антивируса определяет как вредоносный или подозрительный, автоматически сканируется в Песочнице. После включения Тестовой среды, Действие для правил по умолчанию ANY - ANY для блокировки подозрительных и вредоносных файлов меняется на Блокировать & Сканировать.

Вы также можете загрузить специфические файлы для сканирования в Песочнице.

Файлы сканируются в виртуальной ОС Windows 10.

Понимание статического и динамического анализа

В Песочнице файлы сканируются с использованием статического и динамического анализа. Это обеспечивает более широкое обнаружение как известных, так и неизвестных угроз.

Статический анализ

Статический анализ использует модели машинного обучения (ML) для обнаружения угроз путем анализа свойств файлов без их выполнения. Статический анализ Песочницы:

  • Сканирует метаданные файла и встроенные атрибуты
  • Быстро обнаруживает известные угрозы на основе сигнатур, файловых операций, заголовков PE и поведенческих черт

Динамический анализ

Динамический анализ выполняет файлы в изолированной среде, чтобы наблюдать за их поведением и выявлять вредоносную активность. Динамический анализ Песочницы:

  • Наблюдает за поведением файла в реальном времени для идентификации скрытых или неизвестных угроз
  • Обнаруживает расширенные вредоносные программы, включая полиморфные угрозы, которые избегают обнаружения в статическом анализе.

Случаи использования

Углубленный форензик-анализ

Компания ABC полагается на решения антивирусной защиты только для обнаружения. Это не предоставляет видимости того, как работает угроза, и не даёт им полноценно понять тактику атак, поведение полезной нагрузки или потенциальное воздействие на систему.

Для решения этой проблемы они включают Песочницу для улучшения своих возможностей анализа угроз. Когда обнаруживается подозрительный файл, он автоматически отправляется в песочницу для статического и динамического анализа. Песочница отслеживает такие активности, как неожиданные сетевые подключения, попытки изменить критические файлы или усилия по повышению привилегий.

Из отчета по сканированию компания может:

  • Исследуйте основные причины с помощью детальной аналитики.
  • Поймите полное воздействие атаки на их системы.
  • Соотнесите поведение с такими структурами, как MITRE ATT&К для структурированного реагирования.

Использование функции Песочницы сокращает среднее время обнаружения и среднее время реагирования, а также укрепляет общую безопасность.

Тестирование подозрительных файлов в управляемой среде

Сотрудник компании ABC получил электронное письмо с подозрительным файлом, который был заблокирован их политикой Антивируса. Сотрудник связывается с командой ИТ-безопасности, утверждая, что файл безопасен, и им нужен к нему доступ.

Прежде чем предоставить сотруднику доступ к файлу, они загружают его в Песочницу, чтобы его можно было выполнить в контролируемой среде.

Динамический анализ в Песочнице выявил, что файл пытался применить техники Повышения привилегий и получил вредоносный вердикт. ИТ команда не предоставляет доступ к файлу и избегает потенциальной атаки.

Включение Песочницы

Эта Песочница включена из Политики Антивируса.

Песочница.png

Чтобы включить тестовую среду:

  1. Из навигационного меню, нажмите Безопасность > Антивирус.
  2. Включите переключатель Тестовая среда.

Сканирование Специфических Файлов в Песочнице

Вы можете расследовать и анализировать специфический файл, который вы считаете подозрительным, загрузив его вручную в песочницу. После загрузки файла создается отчет.

Песочница_manual.png

Для сканирования специфических файлов:

  1. Из навигационного меню, нажмите Безопасность > Отчеты песочницы.

  2. Нажмите Загрузить файл & Сгенерировать отчет.

    Открывается панель Загрузить файл.

  3. Загрузите файл, который хотите сканировать.
  4. Нажмите Загрузить файл & Создать отчет.

 

Тестирование тестовой среды

Чтобы проверить Тестовая среда и получить пример отчета, вручную загрузите zip-файл внизу этой статьи в Тестовая среда. Этот файл является тестовым файлом для Вредоносных программ. 

Требования к Файлам Песочницы

Песочница поддерживает следующие типы файлов:

  • PE / 32-бит & 64-бит, EXE & DLL 
  • Документы Office / OLE & открытые XML форматы 
  • документы RTF 
  • Документы в формате PDF 
  • Скрипты / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell 
  • Java / JAR файлы 
  • Ярлыки Windows / файлы LNK & URL 
  • Windows пакетные / BAT файлы 
  • Архивные или сжатые типы: 
  • архив 7-zip 
  • архив ace 
  • архив arj 
  • сжатие bzip2 
  • сжатие gzip 
  • архив lha 1.x & 2.x 
  • архив microsoft cabinet 
  • архив tar 
  • архив posix tar 
  • архив rar 
  • сжатие xz 
  • архив zip 
  • iso 9660 cd-rom

  • .app (поддержка macOS только для статического анализа)  

  • .dmg (поддержка macOS только для статического анализа)  

Известные ограничения

  • Файлы превышающие 100MB не поддерживаются

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев