January 4, 2018 4:13 pm | Published by |

Анализатор “Песочница”

 

Endpoint security Sandbox

 

 

 

В Gravity Zone Elite (HD) были введены несколько новых функций как в облачной, так и в локальной (on premise) версиях. Это HyperDetect и Sandbox Analyser (Анализатор Песочница)

В этой статье мы рассмотрим внимательней Sandbox Analyser.

 

Анализатор Песочницы предоставляет мощный слой защиты против продвинутых угроз, производя автоматический глубинный анализ подозрительных файлов, которые еще не занесены в базу данных Bitdefender.

Настройки его поведения выставляються, как обычно, в Политиках (Polices).

 

 

sandbox analyser

 

Анализ файлов в песочнице может быть:

  • Автоматический (Automatic file submission) – применяемый с политикой и доступный для бинарных файлов.
  • Ручной (Manual file submission) – не зависит от политики и доступен для всех поддерживаемых типов файлов (1 файл может быть не более 50мб).

 

 

Автоматический анализ

Для того ,чтобы настроить автоматический анализ в песочнице нужно сделать следующее:

  1. В текущей политике зайдите в раздел Анализатор – Локальное подчинение

sandbox

2.Выберите галочку –  Отправлять объекты из локальных систем для  автоматической проверки подозрительных файлов.

 

ВНИМАНИЕ!

  • Анализатор будет работать только если включен модуль Защита от вредоносного ПО > Сканирование при доступе. 

 

  • Анализатор использует те же исключения что и модуль – Защита от вредоносного ПО – Сканирование при доступе. Внимательно просмотрите настройки Сканирования при доступе при настройке анализатора песочницы.
  • Чтоб предотвратить ложные срабатывания вы можете настраивать исключения по имени фала, разширению, размеру или пути файла. Больше инфо вы сможете найти в инструкциях модуля Защиты от вредоносного ПО.
  • Лимит на размер одного файла или архива в анализатор 50мб.

 

 

  1. Выберите режим Анализа
  • Мониторинг – пользователь может работать с файлом во время анализа , но крайне не рекомендуеться открывать подозрительный файл до конца анализа.
  • Блокировка – пользователь не имеет доступа к файлу пока он не вернеться с анализа.
  1. Выберите Действия по исправлению, которые будут предприняты после обнаружения угрозы. Для каждого метода анализа есть два варианта действий: действия по умолчанию и резервный метод, который применяется, если первое действие не возможно выполнить.

Анализатор предоставляет вам выбор из таких действий:

  • Лечить убирает вредоносный код из файла
  • Удалить – удаляет весь обнаруженый файл с диска
  • Карантин – отправляет зараженных в каратнин. В карантине файлы не могут быть открыты или выполнены, тем самым пропадает риск заражения. Вы можете управлять карантином в разделе Карантин.
  • Только отчет – анализатор только сообщает об обнаруженой угрозе, не предпренимая действий.

                               Примечаниев зависимости от действия по умолчанию, резервный метод может быть не доступен.

  1. Настройте Connection Settings – эти настройки содержат адрес портала анализатора и порт.

По умолчанию, это  sandbox-portal.gravityzone.bitdefender.com  с портом 443.

Если вы используете прокси – настройте их свойства в разделе  под галочкой  «Использовать конфигурацию прокси сервера».

 

 

Ручной анализ в песочнице

Вы можете отправить на анализ подозрительные файлы без настройки политик.

Это действие доступно через веб интерфейс Центра управления (Control Center). В нижнем левом углу есть кнопка:

 

И далее нажимаем строчку  Ручное управление

Обзор –  выбираем файлы на компьютере и нажав

Загрузить –  отправляем на анализ в песочницу.

 

  Детонировать объекты отдельно в безопасной среде  – используеться для того, чтобы загруженные вместе обьекты тестировались вместе или отдельно (если, например, они работают в связке)

 

 

 

Для проверки работоспособности модуля мы провели небольшой эксперимент и нашли зараженный архив (защищенный паролем).  На виртуальной машине загрузили файл и отправили на проверку через Веб Интерфейс.

 

Следует обращать внимание на наличие паролей, поскольку простой анализ запароленого архива не даст результатов, так как, система не может получить доступ к файлам при анализе.

Но если снять пароль и отправить, то  обнаружена явная угроза

 

Причем после анализа доступна детальная информация о найденной угрозе

 

sandbox analys sample

 Комманда Bitdefender также приготовила видео со сценарием работы новых функций на жизненном примере –