Компания Positive Technologies сообщила о выходе новой версии PT Sandbox.
Теперь при настройке параметров проверки объектов от источников для файлов OpenDocument и Microsoft Office (версии 2007 или выше) вы можете указать признаки, при наличии которых PT Sandbox будет проверять их методом поведенческого анализа. Вы можете настроить проверку файлов офисных форматов, если они зашифрованы, содержат макросы, внедрённые объекты OLE, запросы к внешним данным или настроенные действия (Actions), если они используют внешние шаблоны, элементы ActiveX или функции динамического обмена данными (DDE).
При поведенческом анализе файлов PT Sandbox запускает проверяемые файлы в изолированной среде и отслеживает их поведение. Для запуска некоторых файлов могут использоваться специальные параметры. Теперь при проверке объектов через веб-интерфейс, вы можете указать команду, которую будет использовать PT Sandbox для запуска файла при поведенческом анализе.
Для поведенческого анализа файлов в PT Sandbox используются стандартные и пользовательские образы ВМ. Создавать пользовательские образы ВМ вы можете с помощью утилиты ImageBuilder из комплекта поставки. Теперь вы можете добавлять пользовательские образы ВМ через веб-интерфейс PT Sandbox.
Теперь PT Sandbox может извлекать ссылки из файлов, поступивших от источников "Общая папка", "Папка-шлюз" и "ICAP-сервер". Ссылки извлекаются из файлов форматов PDF, RTF, EML, MSG, DOCX, XLSX, PPTX, ODS, ODP, ODT и HTML. Все извлечённые ссылки проверяются по индикаторам компрометации. В параметрах проверки объектов от источника вы также можете включить скачивание и проверку контента по извлечённым ссылкам.
Исполняемые файлы PE могут быть сжаты с помощью приложения UPX для защиты и уменьшения их объёма. Теперь при статическом анализе PT Sandbox может распаковывать и проверять такие файлы.
В карточке задания теперь отображается не только дата и время создания задания, но и время обработки объекта задания источником (например, при блокировке объекта) и время вынесения вердикта по заданию. Кроме того, теперь вы можете добавить в таблицу со списком заданий столбцы с временем до решения о блокировке и временем до вердикта.
Теперь по ссылке из карточки объекта вы можете перейти на сайт IoC Portal и проверить объект по индикаторам компрометации. Индикатором компрометации для файлов может быть хеш-сумма формата SHA-256, для ссылок и HTTP-сообщений – URL.
Примечание: Для проверки объектов требуется аутентификация на сайте IoC Portal. Для создания учетной записи обратитесь в службу технической поддержки Positive Technologies.
В ходе проверки файла методом поведенческого анализа этот файл может обращаться к внешним сетевым объектам. PT Sandbox отслеживает такие обращения и проверяет адреса таких объектов по индикаторам компрометации с помощью средства проверки PT IoC. Информация о выявленных опасных объектах теперь отображается в карточке поведенческого анализа в панели с результатами.
Теперь в таблице со списком объектов доступны столбцы с информацией о проверке объекта по дополнительным критериям определения потенциально опасных файлов. Вы можете добавить столбец с типом обнаруженной угрозы и столбец с критерием, по которому файл признан потенциально опасным.
По результатам проверки объектов PT Sandbox может формировать события стандарта syslog и отправлять их во внешние системы для централизованного сбора и анализа событий ИБ. Теперь в эти события добавляется информация о результатах проверки средством PT IoC.
При поведенческом анализе файлов в PT Sandbox возможна остановка ВМ, развернутых из образов Windows 7, Astra Linux и "РЕД ОС". Для исправления этой ошибки вам необходимо переустановить гипервизор Xen, используя обновленный установочный пакет. В зависимости от используемой вами конфигурации PT Sandbox, гипервизор необходимо переустановить на основном или дополнительных узлах с функцией поведенческого анализа согласно инструкциям в Руководстве администратора (см. раздел 11.2.1 или 11.3.2).
Внимание! Для получения установочного пакета гипервизора Xen обратитесь в службу технической поддержки Positive Technologies.
Теперь после развертывания PT Sandbox средство проверки PT IoC будет включено по умолчанию. Все поступившие на проверку и извлеченные дочерние файлы и ссылки будут проверяться по индикаторам компрометации.
Подпишитесь на рассылку для партнеров: новости, акции, мероприятия и полезная информация.
Подписываясь, вы соглашаетесь на обработку персональных данных
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.
Принимаю