在沙盒中扫描文件

沙盒是一个可以安全执行和分析文件的环境，以提供高级威胁防护。本文提供了沙盒的解释，并详细说明了如何启用它。

概述

沙盒是一个隔离、安全的虚拟环境，可以在不危害网络的情况下执行和分析潜在的恶意文件。这提供了深入的法医学分析，有助于全面的恶意软件调查。

一旦文件在沙盒环境中执行和分析，就会生成一份全面的报告，并可在CMA中下载。该报告包括静态和动态分析，提供了文件潜在风险的完整视图。有关详细信息，请参阅理解沙盒分析报告,

沙盒仅适用于高级威胁防护许可证。有关更多信息，请联系您的销售代表。

使用沙盒扫描文件

反恶意软件策略标识为恶意或可疑的任何文件都将自动在沙盒中扫描。启用沙盒环境后，阻止可疑和恶意文件的默认任意 - 任意规则的操作更改为阻止 & 扫描。

您还可以上传特定文件到沙盒中进行扫描。

文件是在虚拟Windows 10操作系统环境中扫描的。

了解静态和动态分析

在沙盒中，文件经过静态和动态分析进行扫描。这确保了对已知和未知威胁的更广泛检测。

静态分析

静态分析利用机器学习（ML）模型，通过分析文件属性而不执行来检测威胁。沙盒静态分析：

扫描文件元数据和嵌入属性
基于签名、文件操作、PE头和行为特质快速检测已知威胁

动态分析

动态分析在隔离环境中执行文件以观察其行为并检测恶意活动。沙盒动态分析：

实时观察文件的行为以识别回避或未知威胁
检测高级恶意软件，包括在静态分析中避免检测的多态威胁

用例

深入的法医学分析

公司ABC依赖于仅检测的反恶意软件解决方案。这不能提供对威胁操作方式的可见性，也限制了对攻击战术、有效载荷行为或潜在系统影响的全面理解。

为了解决这个问题，他们启用了沙盒以增强其威胁分析能力。当检测到可疑文件时，它会自动发送到沙盒环境进行静态和动态分析。沙盒监视活动，例如意外网络连接、修改关键文件的尝试或权限提升的努力。

从扫描报告中，公司可以：

通过深入洞察调查根本原因
了解攻击对其系统的全面影响
将行为映射到MITRE ATT&CK等框架，以便进行结构化响应。

使用沙盒环境功能，减少平均检测时间和平均响应时间，并加强整体安全态势。

在受控环境中测试可疑文件

ABC公司的员工收到了一封含有可疑文件的电子邮件，该文件已被他们的反恶意软件策略阻止。员工联系IT安全团队，声称该文件是安全的，并且他们需要访问权限。

在为员工提供文件访问权限之前，他们将其上传到沙盒环境，从而可以在受控环境中执行文件。

沙盒环境中的动态分析识别出该文件尝试了权限提升技术，并进行了恶意判定。 IT团队不提供访问文件的权限，从而避免潜在攻击。

启用沙盒环境

此沙盒环境从反恶意软件策略中启用。

启用沙盒环境：

从导航菜单中，点击 安全性 > 反恶意软件。
启用沙盒环境切换。

在沙盒环境中扫描特定文件

您可以通过手动将您认为可疑的特定文件上传到沙盒环境来进行调查和分析。上传文件后，将生成报告。

要扫描特定文件：

从导航菜单中，点击安全性 > 沙盒报告。
点击上传文件 & 生成报告。

上传文件面板打开。
上传您想要扫描的文件。
点击上传文件 & 生成报告。

测试沙盒环境

要测试沙盒环境，并收到示例报告，请手动上传本文底部的zip文件到沙盒环境。此文件是一个恶意软件测试文件。

沙盒环境文件要求

沙盒环境支持以下文件类型：

PE / 32位 & 64位, EXE & DLL
Office文件 / OLE & Open XML格式
RTF文件
PDF文件
脚本 / Javascript (JS/JSE/WSF), Visual Basic 脚本 (VBS/VBE), PowerShell
Java / JAR文件
Windows快捷方式 / LNK & URL文件
Windows批处理 / BAT文件
归档或压缩类型：
7-zip归档
ace归档
arj归档
bzip2压缩
gzip压缩
lha 1.x & 2.x归档
Microsoft Cabinet归档
tar归档
posix tar归档
rar归档
xz压缩
zip归档
iso 9660 cd-rom

已知限制

文件超过100MB不支持

Cato_Sandbox_Test_File_manual.zip4 MB