Per fornire un'analisi sicura, veloce ed efficiente del malware, siamo entusiasti di annunciare l'aggiunta di MetaDefender Sandbox, una sandbox di nuova generazione basata sull'analisi adattiva delle minacce, a MetaDefender Core. Questo aggiornamento migliora la già potente serie di funzionalità della piattaforma MetaDefender , come Content Disarm and Reconstruction (Deep CDR), Multiscanning, File-Based Vulnerability Assessment, Data Loss Prevention e Threat Intelligence.
MetaDefender Sandbox aggiunge un'esclusiva tecnologia di analisi dinamica a MetaDefender. Rileva i file dannosi ed estrae gli "Indicatori di Compromissione" (IOC) alla velocità della luce utilizzando funzioni avanzate e adattive come l'analisi dinamica, l'analisi statica dei file, i servizi di reputazione e la corrispondenza delle firme YARA.
MetaDefender MetaDefender Sandbox è disponibile in due versioni diverse: un motore remoto completo e un motore embedded leggero.
MetaDefender Sandbox Confronto tra motori remoti e incorporati
Per il modulo MetaDefender Core Filescan sono disponibili due tipi di motori: il motore incorporato e il motore remoto:
- L'Embedded Engine contiene un motore "scanner" che viene installato direttamente sulla macchina MetaDefender Core ed elabora i file localmente. È simile ad altri moduli MetaDefender Core come Metascan e Content Disarm and Reconstruction (Deep CDR).
- Il Remote Enginerichiede un'istanza separata di Filescan e si connette al server remoto in base a un URL e a una chiave API configurabili. Il server può essere on-premises o in-the-cloud.
Entrambi i motori includono le seguenti caratteristiche:
- Analisi statica dei file: Parser di file, validazione di certificati di file
- Analisi dinamica: Emulazione di file Microsoft, spacchettamento PE, analisi binaria completa ed emulazione JavaScript/VBS.
- Reputation Service: Ricerca di hash fuzzy, Navigazione sicura di Google
- Matrice di firme YARA
- Tendenze della comunità
- Database tradizionali Threat Intelligence
Il Motore Remoto comprende anche:
- Analisi statica dei file: Analisi del testo dell'immagine con riconoscimento ottico dei caratteri (OCR)
- Analisi dinamica: Emulazione di script PowerShell, emulazione di URL e rilevamento di Phishing
- Servizi di reputazione: OPSWAT reputation lookup
- Funzionalità di reporting migliorate
Fare clic qui per vedere l'elenco completo delle caratteristiche.
Distribuire i motori di MetaDefender Sandbox con MetaDefender
È possibile distribuire automaticamente Filescan se è presente sul server di aggiornamento e il modulo Internet è impostato su Modulo di aggiornamento, MetaDefender Core scaricherà e distribuirà automaticamente il motore. Esiste anche un'opzione per distribuire manualmente.
Collegarsi al motore remoto Filescan
Se si desidera connettersi al motore remoto completo, andare in Inventario -> Moduli -> MetaDefender Sandbox e aggiungere la chiave API e l'indirizzo a cui ci si vuole connettere.
Configurare il modulo MetaDefender Sandbox con MetaDefender
Impostazioni di configurazione globale
Per configurare globalmente il sito Filescan, navigare in Inventario -> Moduli -> MetaDefender Sandbox.
Le impostazioni di configurazione globale forniscono un controllo granulare sulle funzioni che si desidera utilizzare per elaborare e analizzare i file.
Configurazione del flusso di lavoro
Con la nostra Gestione dei flussi di lavoro, è possibile creare un flusso di lavoro separato dalla configurazione globale. È inoltre possibile scegliere di analizzare i file con altri moduli di MetaDefender , come Deep Content Disarm and Reconstruction (Deep CDR), Proactive Data Loss Prevention (DLP), elenchi di blocchi e permessi personalizzati e molti altri.
Per creare un flusso di lavoro personalizzato, andare su Gestione flusso di lavoro -> Nuovo flusso di lavoro.
Utilizzare il motore MetaDefender Sandbox con MetaDefender
Modalità quarantena e analisi fuori banda
In alcuni scenari, è possibile inviare i file bloccati in quarantena per ulteriori analisi.
Ad esempio, se Metascan identifica i file come dannosi o sospetti, è possibile inviarli agli analisti dei Centri Operativi di Sicurezza (SOC) per comprendere le tattiche, le tecniche e le procedure (TTP) e indagare automaticamente sui focolai di malware.
I team di Digital Forensics and Incident Response (DFIR) potrebbero voler esaminare i file originali e ottenere un rapporto completo da Filescan, che include gli Indicatori di compromissione (IOC), ulteriori dettagli sui file e altro ancora.
È inoltre possibile sanificare i file con Deep Content Disarm and Reconstruction (Deep CDR) e scegliere di inviare i file originali a Filescan per un'ispezione approfondita. La nostra analisi fuori banda fornisce file sicuri agli utenti finali e offre agli analisti gli strumenti necessari per indagare sui focolai di malware.
Accedere a Gestione flusso di lavoro -> Flussi di lavoro -> Selezionare il flusso di lavoro -> Elaborare -> Mettere in quarantena i file bloccati
Elaborazione automatica dei file con MetaDefender Sandbox
È possibile eseguire automaticamente la scansione dei file in quarantena con MetaDefender Sandbox e restituire un'analisi approfondita di ciascun file.
Navigare in Cronologia-> Quarantena -> Impostazioni -> MetaDefender Sandbox -> Abilita l'invio automatico di file a MetaDefender Sandbox .
MetaDefender + Filescan Sandbox Funzioni di analisi e rilevamento del malware
I nostri motori di emulazione proprietari consentono l'analisi dinamica dei file su scala e a velocità incredibile, permettendo di rilevare e proteggere dai file dannosi in modo più rapido ed efficiente.
Funzione di analisi Adaptive delle minacce
FilescanL'analisi dinamica del malware emula documenti di Microsoft Office, script PowerShell, URL e molto altro.
Emulazione dei file di Microsoft Office
Emula i file di Microsoft Office e rileva macro dannose e altre minacce nascoste.
Emulazione di URL e rilevamento di phishing
Filescan è in grado di rilevare i tentativi di phishing emulando gli URL in tempo reale, consentendo di individuare le minacce prima che possano causare danni.
Caratteristiche dell'analisi statica
Questo aggiornamento aggiunge nuove funzionalità di analisi statica del malware, offrendo una maggiore protezione contro le minacce avanzate alla sicurezza informatica.
Parser di file
I nuovi File Parser forniscono informazioni dettagliate sui file, aiutando a identificare e isolare rapidamente i file potenzialmente dannosi.
Convalida del certificato del file
Inoltre, la convalida del certificato dei file garantisce che solo i file legittimi e approvati vengano eseguiti sulla rete.
Analisi del testo dell'immagine
La funzione di analisi del testo dell'immagine utilizza la tecnologia di riconoscimento ottico dei caratteri (OCR) per analizzare le immagini e rilevare eventuali testi dannosi al loro interno. Questa funzione aiuta a identificare le minacce basate sul testo che altrimenti potrebbero passare inosservate dalle misure di sicurezza tradizionali.
Servizi di reputazione
Reputation Services è un componente fondamentale delle nuove funzionalità di Sandboxing di OPSWAT MetaDefender , che fornisce informazioni avanzate sulle minacce per proteggere le organizzazioni dai cyberattacchi.
Ricerca Fuzzy Hash
Una delle caratteristiche principali di Reputation Services è il fuzzy hash lookup, che consente a MetaDefender di confrontare l'"impronta digitale" dei file con gli hash noti del malware.
Ciò consente al sistema di identificare e bloccare i file dannosi, anche se sono stati leggermente modificati per eludere il rilevamento da parte dei tradizionali software antivirus basati sulle firme.
Grazie alla ricerca di hash fuzzy, MetaDefender è in grado di identificare e mettere in quarantena i file sospetti in modo rapido e preciso, mantenendo la rete e i dati dell'azienda al sicuro dalle minacce informatiche.
OPSWAT Ricerca della reputazione
OPSWAT Reputation Lookup fornisce un punteggio per la reputazione del file basato sull'analisi del nostro database di reputazione dei file con oltre 40 miliardi di hash.
Questa funzione è integrata nel Filescan Remote Engine ed è disponibile per gli utenti di Embedded Engine con una licenza MetaDefender Cloud attiva e il modulo Threat Intelligence abilitato.
Matrice di firme YARA
YARA Signature Matcher è una potente funzione di OPSWAT's MetaDefender che utilizza regole personalizzate per rilevare e identificare i file dannosi.
YARA è uno strumento flessibile di pattern matching che può essere utilizzato per creare regole personalizzate per l'identificazione di specifici tipi di malware. Con YARA Signature Matcher, MetaDefender è in grado di rilevare e bloccare in modo rapido e accurato le minacce note, nonché di identificare quelle nuove ed emergenti.
Vantaggi: Tecnologia di analisi dinamica potente, veloce ed efficiente
MetaDefender Sandbox è facile da configurare ed efficiente nell'utilizzo delle risorse. In meno di un'ora, MetaDefender Sandbox è attivo e funzionante per aiutarvi a proteggervi dalle minacce informatiche. Per saperne di più sui dettagli tecnici , cliccate qui.
Opzioni di distribuzione
Con MetaDefender, è possibile accedere all'analisi veloce e dinamica del malware di Filescansia in sede che nel cloud. Per ulteriori informazioni sull'implementazione del motore remoto, consultare la scheda tecnica diMetaDefender Sandbox .
Altri miglioramenti e aggiornamenti
Per ulteriori informazioni, visitateopswat.com/products/metadefender/core ocontattatei nostri esperti di cybersicurezza delle infrastrutture critiche per ricevere assistenza.
Dettagli di rilascio
Prodotto: MetaDefender Core
Data di rilascio: 7 aprile 2023
Note di rilascio: 5.5.0
Link per il download sul portale OPSWAT :Download
