为提供安全、快速且高效的恶意软件分析,我们欣然宣布将基于自适应威胁分析的MetaDefender 纳入 MetaDefender Core。此次更新MetaDefender 原有的强大功能集,包括内容解除武装与重建(Deep CDR™技术)、Multiscanning、File-Based Vulnerability Assessment、数据防泄漏以及Threat Intelligence。
MetaDefender MetaDefender注入了独特的动态分析技术。它通过动态分析、静态文件分析、信誉服务和YARA签名匹配等先进自适应功能,以闪电般的速度检测恶意文件并提取"入侵指标"(IOCs)。
MetaDefender 两种不同版本的MetaDefender :功能齐全的远程引擎和轻量级的嵌入式引擎。
MetaDefender 远程引擎与嵌入式引擎对比
MetaDefender Core Filescan 模块有两种引擎:嵌入式引擎和远程引擎:
- 嵌入式引擎包含一个"扫描器"引擎,该引擎直接安装MetaDefender Core ,并在本地处理文件。它MetaDefender Core (如Metascan和内容解除武装与重建(Deep CDR™技术))类似。
- 远程引擎需要一个单独的Filescan 实例,并根据可配置的 URL 和API 密钥连接到远程服务器。服务器可以是内部服务器,也可以是云服务器。
这两款发动机都具有以下特点:
- 静态文件分析:文件解析器、文件证书验证
- 动态分析微软文件仿真、PE 解包、完整二进制分析和 JavaScript/VBS 仿真
- Reputation Service:模糊散列查找、谷歌安全浏览
- YARA 签名匹配器
- 社区趋势
- 传统的威胁情报 数据库
远程引擎还包括
- 静态文件分析:利用光学字符识别 (OCR) 进行图像文本分析
- 动态分析:PowerShell 脚本仿真、URL 仿真和网络钓鱼检测
- 声誉服务: OPSWAT 声誉查询
- 增强报告功能
点击此处查看完整功能列表。
部署MetaDefender 引擎与MetaDefender
如果Filescan 存在于更新服务器上,且 Internet 模块设置为更新模块,则可自动部署MetaDefender Core ,它会自动下载和部署引擎。也可以选择手动部署。
连接至Filescan 远程引擎
若需连接功能齐全的远程引擎,请导航至库存->模块 - >MetaDefender ,并添加您的API 及目标连接地址。
使用MetaDefender配置MetaDefender 模块
全局配置设置
要全局配置Filescan,请导航至:库存 - >模块 - >MetaDefender 。
全局配置设置可对您想用于处理和分析文件的功能进行细化控制。
工作流程配置
借助我们的工作流管理功能,您可以创建独立于全局配置的工作流。您还可选择使用MetaDefender 分析文件,例如Deep Content Disarm and Reconstruction Deep CDR™技术)、主动数据防泄漏(DLP)、自定义阻止与允许列表等多种功能。
要创建自定义工作流程,请导航至工作流程管理->新建工作流程。
使用MetaDefender 引擎与MetaDefender
隔离模式和带外分析
在某些情况下,您可能希望将被阻止的文件发送到隔离区进行进一步分析。
例如,如果 Metascan 将文件识别为恶意或可疑文件,您就可以将其发送给安全运营中心 (SOC) 分析师,以了解战术、技术和程序 (TTP),并自动调查恶意软件的爆发。
数字取证和事件响应 (DFIR) 团队可能需要仔细检查原始文件,并从Filescan 获取综合报告,其中包括出错指标 (IOC)、其他文件详细信息等。
您还可通过Deep Content Disarm and Reconstruction Deep CDR™)对文件进行安全处理,并选择将原始文件Filescan 全面检测。我们的带外分析机制既能为终端用户提供安全文件,又能为分析师提供调查恶意软件爆发所需的工具。
导航至工作流程管理 -> 工作流程 -> 选择您的工作流程 -> 处理 -> 隔离受阻文件
使用MetaDefender 自动处理文件
您可以使用MetaDefender 自动扫描隔离文件,并针对每个文件返回深度分析结果。
导航至历史记录->隔离区->设置->MetaDefender >启用自动将文件发送至MetaDefender
MetaDefender +Filescan Sandbox 恶意软件分析和检测功能
我们的专有仿真引擎能够以惊人的速度进行大规模动态文件分析,使您能够更快、更有效地检测和防范有害文件。
Adaptive 威胁分析功能
Filescan的动态恶意软件分析可模拟 Microsoft Office 文档、PowerShell 脚本、URL等。
Microsoft Office 文件模拟
模拟 Microsoft Office 文件并检测恶意宏和其他隐藏威胁
URL 仿真和网络钓鱼检测
Filescan 可以通过实时仿真 URL 来检测网络钓鱼企图,让您能够在威胁造成任何破坏之前将其捕获。
静态分析功能
该更新增加了新的静态恶意软件分析功能,可增强对高级网络安全威胁的防护。
文件解析器
新的文件解析器提供了详细的文件信息,有助于快速识别和隔离潜在的有害文件。
文件证书验证
此外,文件证书验证可确保只有合法和经过批准的文件才能在网络上运行。
图像文本分析
图像文本分析功能使用光学字符识别 (OCR) 技术分析图像并检测其中的任何恶意文本。该功能有助于识别基于文本的威胁,否则传统的安全措施可能无法发现这些威胁。
声誉服务
信誉服务是OPSWAT MetaDefender 新沙箱功能的重要组成部分,提供先进的威胁情报 ,保护组织免受网络攻击。
模糊哈希查找
信誉服务的主要功能之一是模糊哈希值查询,它允许MetaDefender 将文件的数字 "指纹 "与已知恶意软件的哈希值进行比较。
这使系统能够识别并拦截恶意文件,即使这些文件稍作修改,就能躲过传统签名式杀毒软件的检测。
通过模糊哈希值查询,MetaDefender 可以快速准确地识别和隔离可疑文件,使企业的网络和数据免受网络威胁。
OPSWAT 声誉查询
OPSWAT Reputation Lookup 会根据我们文件信誉数据库中 400 多亿哈希值的分析结果,为文件信誉打分。
该功能内置在Filescan 远程引擎中,具有有效MetaDefender Cloud 许可证和已启用威胁情报 模块的嵌入式引擎用户可使用该功能。
YARA 签名匹配器
MetaDefender YARA 签名匹配器是OPSWAT 的一项强大功能,它使用自定义规则来检测和识别恶意文件。
YARA 是一种灵活的模式匹配工具,可用于创建识别特定类型恶意软件的自定义规则。利用 YARA 签名匹配器,MetaDefender 可以快速准确地检测和阻止已知威胁,并识别新出现的威胁。
优点强大、快速、高效、动态分析技术
MetaDefender 不仅设置简便,资源利用率也极高。不到一小时MetaDefender 即可启动运行,助您抵御恶意软件威胁。点击此处了解技术详情。
部署选项
借助MetaDefender,您可在本地和云端环境中访问Filescan快速动态的恶意软件分析Filescan。有关远程引擎部署的更多信息,请参阅MetaDefender 数据手册。
其他改进和更新
如需了解更多信息,请访问opswat.com/products/metadefender/core 或联系我们的关键基础设施网络安全专家寻求帮助。
版本详细信息
产品:MetaDefender Core
发布日期: 2023 年 4 月 7 日
发布说明:5.5.0
OPSWAT 门户上的下载链接:下载
