為提供安全、快速且高效的惡意軟體分析,我們欣然宣布將基於自適應威脅分析技術打造的新世代沙箱MetaDefender 納入 MetaDefender Core。此更新MetaDefender 原有的強大功能集,包括內容無害化與重建(Deep CDR™技術)、Multiscanning、File-Based Vulnerability Assessment、資料外洩防護及Threat Intelligence。
MetaDefender MetaDefender增添獨特的動態分析技術。透過動態分析、靜態檔案分析、聲譽服務及YARA簽名比對等先進自適應功能,它能以極速偵測惡意檔案並提取「入侵指標」(IOCs)。
MetaDefender 兩種版本的MetaDefender :功能完整的遠端引擎與輕量級的嵌入式引擎。
MetaDefender 遠端與嵌入式引擎比較
有兩種類型的引擎可用於 MetaDefender Core Filescan 模組:嵌入式引擎和遠端引擎:
- 嵌入式引擎包含一個「掃描器」引擎,該引擎直接安裝於MetaDefender Core ,並在本地端處理檔案。其運作模式類似於MetaDefender Core 例如 Metascan 以及內容解除武裝與重建技術(Deep CDR™ 技術)。
- 遠端引擎需要單獨的Filescan 實例,並基於可配置的 URL 連接到遠端伺服器,並且 API 鑰匙。伺服器可以是本地伺服器,也可以是雲伺服器。
兩種引擎都包括以下功能:
- 靜態檔案分析: 檔解析器、檔案證書驗證
- 動態分析: Microsoft 檔案模擬、PE 解包、完整二進位分析和 JavaScript/VBS 模擬
- Reputation Service: 模糊哈希查找,Google安全流覽
- YARA 簽名匹配器
- 社區趨勢
- 傳統的 威脅情資 資料庫
遠端引擎還包括:
- 靜態檔案分析: 使用光學字元識別 (OCR) 進行圖像文本分析
- 動態分析: PowerShell 腳本模擬、URL 模擬和網路釣魚檢測PowerShell script emulation, URL emulation and Phishing detection
- 聲譽服務: OPSWAT 信譽查找
- 增強的報告功能
按兩下 此處 查看完整的功能清單。
部署MetaDefender 引擎與MetaDefender
您可以自動部署 Filescan 如果它存在於更新伺服器上,並且 Internet 模組設置為更新模組, MetaDefender Core 將自動下載並部署引擎。還有一個手動部署的選項。
連接到 Filescan 遠端引擎
若您希望連接到功能完整的遠端引擎,請導航至「庫存」→「模組」→ MetaDefender 」 ,並輸入您的API 欲連線的目標位址。
使用MetaDefender 設定MetaDefender MetaDefender 模組
全域配置設置
要全域設定Filescan,請導航至「資產清單」→ 「模組」→ 「MetaDefender 」。
全域配置設置提供對要用於處理和分析檔的功能的精細控制。
工作流配置
透過我們的流程管理功能,您可從全域設定中建立獨立的工作流程。您亦可選擇搭配其他MetaDefender 進行檔案分析,例如Deep Content Disarm and Reconstruction Deep CDR™ Technology)、主動式資料外洩防護(DLP)、自訂封鎖清單與允許清單等眾多功能。
若要創建客製化工作流,請導航到 “工作流管理 ”-> “新建工作流”。
使用MetaDefender 引擎搭配MetaDefender
隔離模式和帶外分析
在某些情況下,您可能希望將阻止的檔案發送到隔離區進行進一步分析。
例如,如果 Metascan 將檔案識別為惡意或可疑檔,您可以將其發送給安全營運中心 (SOC) 分析師,以瞭解策略、技術和程式 (TTP),並自動調查惡意軟體爆發。
數字取證和事件回應 (DFIR) 團隊可能希望仔細檢查原始檔並從 Filescan,其中包括入侵指標 (IOC)、其他檔案詳細資訊等。
您亦可運用Deep Content Disarm and Reconstruction Deep CDR™ Technology)對檔案進行安全化處理,並選擇將原始檔案Filescan 徹底Filescan 。我們的離線分析機制既能為終端使用者提供安全檔案,同時為分析人員提供調查惡意軟體爆發所需的工具。
瀏覽到工作流管理 -> 工作流 -> 選擇工作流 -> 進程 -> 隔離被阻止的檔案
使用MetaDefender 自動處理檔案
您可透過MetaDefender 自動掃描隔離中的檔案,並針對每個檔案提供深度分析報告。
導航至「歷史記錄」>「隔離區」>「設定」>「MetaDefender 」> 啟用「自動將檔案傳送至MetaDefender 」。
MetaDefender + Filescan 沙箱 惡意軟體分析和檢測功能
我們專有的模擬引擎能夠以驚人的速度進行大規模的動態檔案分析,使您能夠更快、更高效地檢測和防範有害檔。
Adaptive 威脅分析功能
Filescan的動態惡意軟體分析類比 Microsoft Office 檔案、PowerShell 腳本、URL 等。
Microsoft Office 檔案模擬
類比 Microsoft Office 檔並檢測惡意宏和其他隱藏威脅
URL模擬和網路釣魚檢測
Filescan 可以透過即時類比 URL 來檢測網路釣魚嘗試,使您能夠在威脅造成任何損害之前捕獲威脅。
靜態分析功能
此更新添加了新的靜態惡意軟體分析功能,增強了針對高階網路安全威脅的防護。
檔解析器
新的檔解析器提供詳細的檔資訊,有助於快速識別和隔離可能有害的檔。
檔證書驗證
此外,檔案證書驗證可確保只有合法且經過批准的檔才能在您的網路上運行。
圖像文本分析
圖像文本分析功能使用光學字元識別 (OCR) 技術來分析圖像並檢測其中的任何惡意文本。此功能有助於識別基於文本的威脅,否則傳統安全措施可能會忽略這些威脅。
聲譽服務
信譽服務是 OPSWAT的 MetaDefender 新的沙箱功能,提供高階 威脅情資 保護組織免受網路攻擊。
模糊哈希查找
信譽服務的主要功能之一是模糊哈希查找,它允許 MetaDefender 將檔案的數位「指紋」與已知的惡意軟體哈希值進行比較。
這使系統能夠識別和阻止惡意檔,即使它們經過輕微修改以逃避傳統基於特徵檢測的防病毒軟體的檢測。
使用模糊哈希查找, MetaDefender 可以快速準確地識別和隔離可疑檔案,保護組織的網路和資料免受網路威脅。
OPSWAT 聲譽查詢
OPSWAT 信譽查找基於對檔信譽資料庫的分析,其中包含超過 400 億個哈希值,為檔的信譽提供分數。
此功能內建於 Filescan 遠端引擎,可供具有活動狀態的嵌入式引擎使用者使用 MetaDefender Cloud license 和 enabled 威脅情資 模組。
YARA 簽名匹配器
YARA Signature Matcher 是 OPSWAT的 MetaDefender 使用客製化規則來檢測和識別惡意檔。
YARA 是一種靈活的模式匹配工具,可用於創建用於識別特定類型惡意軟體的客製化規則。使用YARA簽名Matcher, MetaDefender 可以快速準確地檢測和阻止已知威脅,以及識別新的和正在出現的威脅。
優勢:強大、快速、高效、動態分析技術
MetaDefender 具備簡易設定與高效資源運用雙重優勢。不到一MetaDefender 即可完成部署並開始運作,為您提供全面的惡意軟體防護。點擊此處深入了解技術細節。
部署選項
透過MetaDefender,您可在本地端與雲端環境中,皆能存取Filescan快速動態的惡意軟體分析功能。有關遠端引擎部署的詳細資訊,請參閱MetaDefender 產品規格書。
其他增強功能和更新
欲瞭解更多資訊,請訪問opswat.com/產品/metadefender/core 或聯繫我們的關鍵基礎設施網路安全專家尋求説明。
版本詳細資訊
產品: MetaDefender Core
發佈日期:2023年4月7日
發行說明:5.5.0
下載連結 OPSWAT Portal: 下載
