為了提供安全、快速和高效的惡意軟體分析,我們很高興地宣佈增加 MetaDefender Sandbox,基於自適應威脅分析建構的次世代沙箱,進入 MetaDefender Core.此更新增強了 MetaDefender 內容撤防和重建 (Deep CDR)、多防毒引擎掃描、檔案型案的漏洞評估、資料外洩防護等平臺,以及 威脅情資.
MetaDefender Sandbox 將獨特的動態分析技術添加到 MetaDefender.它使用動態分析、靜態檔案分析、信譽服務和 YARA 簽名匹配等高階自適應功能,以閃電般的速度檢測惡意檔並提取「入侵指標」(IOC)。
MetaDefender 提供 MetaDefender Sandbox 有兩個不同的版本:一個功能齊全的遠端引擎和一個輕量級的嵌入式引擎。
MetaDefender Sandbox 遠端引擎和嵌入式引擎比較
有兩種類型的引擎可用於 MetaDefender Core Filescan 模組:嵌入式引擎和遠端引擎:
- 嵌入式引擎包含一個「掃描器」引擎,直接安裝在MetaDefender Core 機器並在本地處理檔案。它與其他類似MetaDefender Core Metascan 和內容解除武裝和重建等模組( Deep CDR )。
- 遠端引擎需要單獨的Filescan 實例,並基於可配置的 URL 連接到遠端伺服器,並且 API 鑰匙。伺服器可以是本地伺服器,也可以是雲伺服器。
兩種引擎都包括以下功能:
- 靜態檔案分析: 檔解析器、檔案證書驗證
- 動態分析: Microsoft 檔案模擬、PE 解包、完整二進位分析和 JavaScript/VBS 模擬
- Reputation Service: 模糊哈希查找,Google安全流覽
- YARA 簽名匹配器
- 社區趨勢
- 傳統的 威脅情資 資料庫
遠端引擎還包括:
- 靜態檔案分析: 使用光學字元識別 (OCR) 進行圖像文本分析
- 動態分析: PowerShell 腳本模擬、URL 模擬和網路釣魚檢測PowerShell script emulation, URL emulation and Phishing detection
- 聲譽服務: OPSWAT 信譽查找
- 增強的報告功能
按兩下 此處 查看完整的功能清單。
部署 MetaDefender Sandbox 發動機 MetaDefender
您可以自動部署 Filescan 如果它存在於更新伺服器上,並且 Internet 模組設置為更新模組, MetaDefender Core 將自動下載並部署引擎。還有一個手動部署的選項。
連接到 Filescan 遠端引擎
如果要連接到功能齊全的 遠端引擎,請導航到“清單”- “ > 模組 ”-“> MetaDefender Sandbox 並添加您的 API 金鑰和您要連接到的位址。
配置 MetaDefender Sandbox 模組 MetaDefender
全域配置設置
全域配置 Filescan,導航到 清單 -> 模組 -> MetaDefender Sandbox.
全域配置設置提供對要用於處理和分析檔的功能的精細控制。
工作流配置
透過我們的工作流管理,您可以創建與全域配置不同的工作流。您還可以選擇使用其他 MetaDefender 模組,例如深度內容解除及重建 (Deep CDR)、主動資料外洩防護 (DLP)、客製化阻止和允許清單等等。
若要創建客製化工作流,請導航到 “工作流管理 ”-> “新建工作流”。
用 MetaDefender Sandbox 發動機 MetaDefender
隔離模式和帶外分析
在某些情況下,您可能希望將阻止的檔案發送到隔離區進行進一步分析。
例如,如果 Metascan 將檔案識別為惡意或可疑檔,您可以將其發送給安全營運中心 (SOC) 分析師,以瞭解策略、技術和程式 (TTP),並自動調查惡意軟體爆發。
數字取證和事件回應 (DFIR) 團隊可能希望仔細檢查原始檔並從 Filescan,其中包括入侵指標 (IOC)、其他檔案詳細資訊等。
您還可以使用深度內容解除及重建 (Deep CDR) 清理檔,並選擇將原始檔案發送到 Filescan 進行徹底檢查。我們的帶外分析為最終使用者提供安全檔案,同時為分析師提供調查惡意軟體爆發所需的工具。
瀏覽到工作流管理 -> 工作流 -> 選擇工作流 -> 進程 -> 隔離被阻止的檔案
自動處理檔 MetaDefender Sandbox
您可以使用以下命令自動掃描隔離檔 MetaDefender Sandbox 並返回對每個檔的深入分析。
導航到 歷史記錄->隔離->設置-> MetaDefender Sandbox ·> 啟用自動發送檔到 MetaDefender Sandbox.
MetaDefender + Filescan 沙箱 惡意軟體分析和檢測功能
我們專有的模擬引擎能夠以驚人的速度進行大規模的動態檔案分析,使您能夠更快、更高效地檢測和防範有害檔。
Adaptive 威脅分析功能
Filescan的動態惡意軟體分析類比 Microsoft Office 檔案、PowerShell 腳本、URL 等。
Microsoft Office 檔案模擬
類比 Microsoft Office 檔並檢測惡意宏和其他隱藏威脅
URL模擬和網路釣魚檢測
Filescan 可以透過即時類比 URL 來檢測網路釣魚嘗試,使您能夠在威脅造成任何損害之前捕獲威脅。
靜態分析功能
此更新添加了新的靜態惡意軟體分析功能,增強了針對高階網路安全威脅的防護。
檔解析器
新的檔解析器提供詳細的檔資訊,有助於快速識別和隔離可能有害的檔。
檔證書驗證
此外,檔案證書驗證可確保只有合法且經過批准的檔才能在您的網路上運行。
圖像文本分析
圖像文本分析功能使用光學字元識別 (OCR) 技術來分析圖像並檢測其中的任何惡意文本。此功能有助於識別基於文本的威脅,否則傳統安全措施可能會忽略這些威脅。
聲譽服務
信譽服務是 OPSWAT的 MetaDefender 新的沙箱功能,提供高階 威脅情資 保護組織免受網路攻擊。
模糊哈希查找
信譽服務的主要功能之一是模糊哈希查找,它允許 MetaDefender 將檔案的數位「指紋」與已知的惡意軟體哈希值進行比較。
這使系統能夠識別和阻止惡意檔,即使它們經過輕微修改以逃避傳統基於特徵檢測的防病毒軟體的檢測。
使用模糊哈希查找, MetaDefender 可以快速準確地識別和隔離可疑檔案,保護組織的網路和資料免受網路威脅。
OPSWAT 聲譽查詢
OPSWAT 信譽查找基於對檔信譽資料庫的分析,其中包含超過 400 億個哈希值,為檔的信譽提供分數。
此功能內建於 Filescan 遠端引擎,可供具有活動狀態的嵌入式引擎使用者使用 MetaDefender Cloud license 和 enabled 威脅情資 模組。
YARA 簽名匹配器
YARA Signature Matcher 是 OPSWAT的 MetaDefender 使用客製化規則來檢測和識別惡意檔。
YARA 是一種靈活的模式匹配工具,可用於創建用於識別特定類型惡意軟體的客製化規則。使用YARA簽名Matcher, MetaDefender 可以快速準確地檢測和阻止已知威脅,以及識別新的和正在出現的威脅。
優勢:強大、快速、高效、動態分析技術
MetaDefender Sandbox 既易於設置,又能高效利用資源。在不到一個小時的時間里, MetaDefender Sandbox 已啟動並運行,以幫助保護您免受惡意軟體的侵害。 在此處瞭解有關技術細節的更多資訊。
部署選項
跟 MetaDefender,您可以訪問 Filescan在本地和雲中進行快速、動態的惡意軟體分析。有關遠端引擎部署的更多資訊,請參閱 MetaDefender Sandbox 產品型錄。
其他增強功能和更新
欲瞭解更多資訊,請訪問opswat.com/產品/metadefender/core 或聯繫我們的關鍵基礎設施網路安全專家尋求説明。
版本詳細資訊
產品: MetaDefender Core
發佈日期:2023年4月7日
發行說明:5.5.0
下載連結 OPSWAT Portal: 下載
