为了提供安全、快速、高效的恶意软件分析,我们很高兴地宣布,在我们的产品中增加了 MetaDefender Sandbox,这是一个基于自适应威胁分析的下一代沙箱,它将被添加到 MetaDefender Core.这一更新增强了MetaDefender 平台本已强大的功能,如内容解除和重构(深度 CDR)、多重扫描、基于文件的漏洞评估、数据丢失防护和威胁情报 。
MetaDefender Sandbox MetaDefender它利用动态分析、静态文件分析、信誉服务和 YARA 签名匹配等先进的自适应功能,以闪电般的速度检测恶意文件并提取 "破坏指标"(IOC)。
MetaDefender MetaDefender Sandbox 有两个不同的版本:全功能远程引擎和轻量级嵌入式引擎。
MetaDefender Sandbox 远程和嵌入式发动机比较
MetaDefender Core Filescan 模块有两种引擎:嵌入式引擎和远程引擎:
- 嵌入式引擎包含一个 "扫描仪 "引擎,直接安装在MetaDefender Core 机器上,在本地处理文件。它类似于其他MetaDefender Core 模块,如 Metascan 和 Content Disarm and Reconstruction (Deep CDR)。
- 远程引擎需要一个单独的Filescan 实例,并根据可配置的 URL 和API 密钥连接到远程服务器。服务器可以是内部服务器,也可以是云服务器。
这两款发动机都具有以下特点:
- 静态文件分析:文件解析器、文件证书验证
- 动态分析微软文件仿真、PE 解包、完整二进制分析和 JavaScript/VBS 仿真
- Reputation Service:模糊散列查找、谷歌安全浏览
- YARA 签名匹配器
- 社区趋势
- 传统的威胁情报 数据库
远程引擎还包括
- 静态文件分析:利用光学字符识别 (OCR) 进行图像文本分析
- 动态分析:PowerShell 脚本仿真、URL 仿真和网络钓鱼检测
- 声誉服务: OPSWAT 声誉查询
- 增强报告功能
点击此处查看完整功能列表。
部署MetaDefender Sandbox 引擎MetaDefender
如果Filescan 存在于更新服务器上,且 Internet 模块设置为更新模块,则可自动部署MetaDefender Core ,它会自动下载和部署引擎。也可以选择手动部署。
连接至Filescan 远程引擎
如果您想连接到全功能远程引擎,请导航到清单->模块 -> MetaDefender Sandbox并添加API 密钥和要连接的地址。
通过以下方式配置MetaDefender Sandbox 模块MetaDefender
全局配置设置
要对Filescan 进行全局配置,请导航至清单 ->模块 -> . MetaDefender Sandbox.
全局配置设置可对您想用于处理和分析文件的功能进行细化控制。
工作流程配置
通过我们的工作流管理,您可以从全局配置中创建单独的工作流。您还可以选择使用其他MetaDefender 模块分析文件,如Deep Content Disarm and Reconstruction (Deep CDR)、主动数据丢失防护 (DLP)、自定义阻止和允许列表等。
要创建自定义工作流程,请导航至工作流程管理->新建工作流程。
使用MetaDefender Sandbox 引擎MetaDefender
隔离模式和带外分析
在某些情况下,您可能希望将被阻止的文件发送到隔离区进行进一步分析。
例如,如果 Metascan 将文件识别为恶意或可疑文件,您就可以将其发送给安全运营中心 (SOC) 分析师,以了解战术、技术和程序 (TTP),并自动调查恶意软件的爆发。
数字取证和事件响应 (DFIR) 团队可能需要仔细检查原始文件,并从Filescan 获取综合报告,其中包括出错指标 (IOC)、其他文件详细信息等。
您还可以使用Deep Content Disarm and Reconstruction (Deep CDR) 对文件进行消毒,并选择将原始文件发送到Filescan 进行彻底检查。我们的带外分析可为最终用户提供安全的文件,同时为分析人员提供调查恶意软件爆发所需的工具。
导航至工作流程管理 -> 工作流程 -> 选择您的工作流程 -> 处理 -> 隔离受阻文件
自动处理文件MetaDefender Sandbox
您可以使用MetaDefender Sandbox 自动扫描被隔离的文件,并返回对每个文件的深入分析。
导航至历史记录-> 隔离区-> 设置->MetaDefender Sandbox -> 启用自动发送文件至MetaDefender Sandbox 。
MetaDefender +Filescan Sandbox 恶意软件分析和检测功能
我们的专有仿真引擎能够以惊人的速度进行大规模动态文件分析,使您能够更快、更有效地检测和防范有害文件。
Adaptive 威胁分析功能
Filescan的动态恶意软件分析可模拟 Microsoft Office 文档、PowerShell 脚本、URL等。
Microsoft Office 文件模拟
模拟 Microsoft Office 文件并检测恶意宏和其他隐藏威胁
URL 仿真和网络钓鱼检测
Filescan 可以通过实时仿真 URL 来检测网络钓鱼企图,让您能够在威胁造成任何破坏之前将其捕获。
静态分析功能
该更新增加了新的静态恶意软件分析功能,可增强对高级网络安全威胁的防护。
文件解析器
新的文件解析器提供了详细的文件信息,有助于快速识别和隔离潜在的有害文件。
文件证书验证
此外,文件证书验证可确保只有合法和经过批准的文件才能在网络上运行。
图像文本分析
图像文本分析功能使用光学字符识别 (OCR) 技术分析图像并检测其中的任何恶意文本。该功能有助于识别基于文本的威胁,否则传统的安全措施可能无法发现这些威胁。
声誉服务
信誉服务是OPSWAT MetaDefender 新沙箱功能的重要组成部分,提供先进的威胁情报 ,保护组织免受网络攻击。
模糊哈希查找
信誉服务的主要功能之一是模糊哈希值查询,它允许MetaDefender 将文件的数字 "指纹 "与已知恶意软件的哈希值进行比较。
这使系统能够识别并拦截恶意文件,即使这些文件稍作修改,就能躲过传统签名式杀毒软件的检测。
通过模糊哈希值查询,MetaDefender 可以快速准确地识别和隔离可疑文件,使企业的网络和数据免受网络威胁。
OPSWAT 声誉查询
OPSWAT Reputation Lookup 会根据我们文件信誉数据库中 400 多亿哈希值的分析结果,为文件信誉打分。
该功能内置在Filescan 远程引擎中,具有有效MetaDefender Cloud 许可证和已启用威胁情报 模块的嵌入式引擎用户可使用该功能。
YARA 签名匹配器
MetaDefender YARA 签名匹配器是OPSWAT 的一项强大功能,它使用自定义规则来检测和识别恶意文件。
YARA 是一种灵活的模式匹配工具,可用于创建识别特定类型恶意软件的自定义规则。利用 YARA 签名匹配器,MetaDefender 可以快速准确地检测和阻止已知威胁,并识别新出现的威胁。
优点强大、快速、高效、动态分析技术
MetaDefender Sandbox 既易于设置,又能有效利用资源。只需不到一个小时,MetaDefender Sandbox 就能启动并运行,帮助您防范恶意软件。点击此处了解更多技术细节。
部署选项
通过MetaDefender ,您可以在企业内部和云中访问Filescan的快速动态恶意软件分析。有关远程引擎部署的更多信息,请参阅MetaDefender Sandbox 产品型录。
其他改进和更新
如需了解更多信息,请访问opswat.com/products/metadefender/core 或联系我们的关键基础设施网络安全专家寻求帮助。
版本详细信息
产品:MetaDefender Core
发布日期: 2023 年 4 月 7 日
发布说明:5.5.0
OPSWAT 门户上的下载链接:下载
