Сканирование файлов в Песочнице

Песочница — это среда, в которой файлы могут безопасно выполняться и анализироваться для обеспечения расширенной защиты от угроз. В этой статье приводится объяснение принципа работы Песочницы и объясняется, как ее включить.

Обзор

Песочница — это изолированная, защищённая и виртуальная среда, в которой потенциально вредоносные файлы выполняются и анализируются без риска для вашей сети. Это обеспечивает углубленный форензик-анализ для комплексного расследования вредоносных программ.

После выполнения и анализа файла в Песочнице создаётся подробный отчет, доступный для скачивания в CMA. Этот отчет включает как статический, так и динамический анализ, предоставляя полное представление о потенциальном риске файла. Для получения дополнительной информации, смотрите Понимание отчета анализа Песочницы,

Песочница доступна только с лицензией на Защиту от угроз. Для получения дополнительной информации, свяжитесь с вашим представителем по продажам.

Сканирование файлов с помощью Песочницы

Любой файл, который политика Антивируса определяет как вредоносный или подозрительный, автоматически сканируется в Песочнице. После включения Песочницы, Действие для Правила по умолчанию Любое - Любое для блокировки подозрительных и вредоносных файлов меняется на Блокировать & Сканировать.

Вы также можете загрузить специфические файлы для сканирования в Песочнице.

Файлы сканируются в виртуальной ОС Windows 10.

Понимание статического и динамического анализа

В Песочнице файлы сканируются с использованием статического и динамического анализа. Это обеспечивает более широкое обнаружение как известных, так и неизвестных угроз.

Статический анализ

Статический анализ использует модели машинного обучения (ML) для обнаружения угроз путем анализа свойств файлов без их выполнения. Статический анализ Песочницы:

  • Сканирует метаданные файлов и вложенные атрибуты

  • Быстро обнаруживает известные угрозы на основе сигнатур, операций с файлами, заголовков PE и поведенческих характеристик

Динамический анализ

Динамический анализ выполняет файлы в изолированной среде, чтобы наблюдать за их поведением и выявлять вредоносную активность. Динамический анализ Песочницы:

  • Наблюдает за поведением файла в режиме реального времени для выявления скрытых или неизвестных угроз

  • Обнаруживает расширенные вредоносные программы, включая полиморфные угрозы, которые избегают обнаружения в статическом анализе

Случаи использования

Углубленный форензик-анализ

Компания ABC полагается на решения антивирусной защиты только для обнаружения. Это не предоставляет видимости того, как работает угроза, и не даёт им полноценно понять тактику атак, поведение полезной нагрузки или потенциальное воздействие на систему.

Для решения этой проблемы они включают Песочницу для улучшения своих возможностей анализа угроз. Когда обнаруживается подозрительный файл, он автоматически отправляется в песочницу для статического и динамического анализа. Песочница отслеживает такие активности, как неожиданные сетевые подключения, попытки изменить критические файлы или усилия по повышению привилегий.

Из отчета по сканированию компания может:

  • Исследовать коренные причины с помощью углубленных инсайтов

  • Понять полное воздействие атаки на их системы

  • Сопоставить поведение с такими фреймворками, как MITRE ATT&CK, для структурированного ответа.

Использование функции Песочницы сокращает среднее время обнаружения и среднее время реагирования, а также укрепляет общую безопасность.

Тестирование подозрительных файлов в управляемой среде

Сотрудник компании ABC получил электронное письмо с подозрительным файлом, который был заблокирован их политикой Антивируса. Сотрудник связывается с командой ИТ-безопасности, утверждая, что файл безопасен, и им нужен к нему доступ.

Прежде чем предоставить сотруднику доступ к файлу, они загружают его в Песочницу, чтобы его можно было выполнить в контролируемой среде.

Динамический анализ в Песочнице выявил, что файл пытался применить техники Повышения привилегий и получил вредоносный вердикт. ИТ команда не предоставляет доступ к файлу и избегает потенциальной атаки.

Включение Песочницы

Эта Песочница включена из Политики Антивируса.

Песочница.png

Чтобы включить Песочницу:

  1. Из меню навигации выберите Безопасность > Антивирус.

  2. Включите переключатель Песочница.

Сканирование Специфических Файлов в Песочнице

Вы можете расследовать и анализировать специфический файл, который вы считаете подозрительным, загрузив его вручную в песочницу. После загрузки файла создается отчет.

Песочница_manual.png

Чтобы сканировать специфические файлы:

  1. Из меню навигации выберите Безопасность > Отчеты песочницы.

  2. Нажмите Загрузить файл & Сгенерировать отчет.

    Открывается панель Загрузить файл.

  3. Загрузите файл, который вы хотите сканировать.

  4. Нажмите Загрузить файл & Сгенерировать отчет.

 

Тестирование песочницы

Чтобы проверить Тестовая среда и получить пример отчета, вручную загрузите zip-файл внизу этой статьи в Тестовая среда. Этот файл является тестовым файлом для Вредоносных программ. 

Требования к Файлам Песочницы

Песочница поддерживает следующие типы файлов:

  • PE / 32-бит & 64-бит, EXE & DLL 

  • Документы Office / форматы OLE & Open XML 

  • Документы RTF 

  • Документы PDF 

  • Скрипты / Javascript (JS/JSE/WSF), Visual Basic Script (VBS/VBE), PowerShell 

  • Java / файлы JAR 

  • Ярлыки Windows / файлы LNK & URL 

  • Пакеты Windows / файлы BAT 

  • Архивы или типы сжатия: 

  • Архив 7-zip 

  • Архив ace 

  • Архив arj 

  • Сжатый bzip2 

  • Сжатый gzip 

  • Архив lha 1.x & 2.x 

  • Архив Microsoft cabinet 

  • Архив tar 

  • Архив posix tar 

  • Архив rar 

  • Сжатый xz 

  • Архив zip 

  • ISO 9660 CD-ROM

Известные ограничения

  • Файлы превышающие 100MB не поддерживаются

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев