PT Sandbox 5.8.0: возможности

06.02.2024 Распечатать новость

Компания Positive Technologies сообщила о выходе новой версии PT Sandbox.

Что нового:

  • Признаки файлов офисных форматов для их проверки методом поведенческого анализа
    Теперь при настройке параметров проверки объектов от источников для файлов OpenDocument и Microsoft Office (версии 2007 или выше) вы можете указать признаки, при наличии которых PT Sandbox будет проверять их методом поведенческого анализа. Вы можете настроить проверку файлов офисных форматов, если они зашифрованы, содержат макросы, внедренные объекты OLE, запросы к внешним данным или настроенные действия (Actions), если они используют внешние шаблоны, элементы ActiveX или функции динамического обмена данными (DDE).
  • Ввод команды для поведенческого анализа файла
    При поведенческом анализе файлов PT Sandbox запускает проверяемые файлы в изолированной среде и отслеживает их поведение. Для запуска некоторых файлов могут использоваться специальные параметры. Теперь при проверке объектов через веб-интерфейс, вы можете указать команду, которую будет использовать PT Sandbox для запуска файла при поведенческом анализе.
  • Добавление образов ВМ через веб-интерфейс
    Для поведенческого анализа файлов в PT Sandbox используются стандартные и пользовательские образы ВМ. Создавать пользовательские образы ВМ вы можете с помощью утилиты ImageBuilder из комплекта поставки. Теперь вы можете добавлять пользовательские образы ВМ через веб-интерфейс PT Sandbox.
  • Извлечение и проверка ссылок из файлов от источников
    Теперь PT Sandbox может извлекать ссылки из файлов, поступивших от источников «Общая папка», «Папка-шлюз» и «ICAP-сервер». Ссылки извлекаются из файлов форматов PDF, RTF, EML, MSG, DOCX, XLSX, PPTX, ODS, ODP, ODT и HTML. Все извлеченные ссылки проверяются по индикаторам компрометации. В параметрах проверки объектов от источника вы также можете включить скачивание и проверку контента по извлеченным ссылкам.
  • Распаковка PE-файлов, сжатых приложением UPX
    Исполняемые файлы PE могут быть сжаты с помощью приложения UPX для защиты и уменьшения их объема. Теперь при статическом анализе PT Sandbox может распаковывать и проверять такие файлы.

Улучшения:

  • Время проверки в карточке задания
    В карточке задания теперь отображается не только дата и время создания задания, но и время обработки объекта задания источником (например, при блокировке объекта) и время вынесения вердикта по заданию. Кроме того, теперь вы можете добавить в таблицу со списком заданий столбцы с временем до решения о блокировке и временем до вердикта.
  • Ссылка на IoC Portal в карточке объекта
    Теперь по ссылке из карточки объекта вы можете перейти на сайт IoC Portal и проверить объект по индикаторам компрометации. Индикатором компрометации для файлов может быть хеш-сумма формата SHA-256, для ссылок и HTTP-сообщений — URL.

Примечание: Для проверки объектов требуется аутентификация на сайте IoC Portal. Для создания учетной записи обратитесь в службу технической поддержки Positive Technologies.

  • Информация об опасных сетевых объектах в карточке поведенческого анализа
    В ходе проверки файла методом поведенческого анализа этот файл может обращаться к внешним сетевым объектам. PT Sandbox отслеживает такие обращения и проверяет адреса таких объектов по индикаторам компрометации с помощью средства проверки PT IoC. Информация о выявленных опасных объектах теперь отображается в карточке поведенческого анализа в панели с результатами.
  • Столбцы с информацией о проверке по дополнительным критериям определения потенциально опасных файлов
    Теперь в таблице со списком объектов доступны столбцы с информацией о проверке объекта по дополнительным критериям определения потенциально опасных файлов. Вы можете добавить столбец с типом обнаруженной угрозы и столбец с критерием, по которому файл признан потенциально опасным.
  • Отправка результатов проверки с помощью PT IoC в событиях syslog
    По результатам проверки объектов PT Sandbox может формировать события стандарта syslog и отправлять их во внешние системы для централизованного сбора и анализа событий ИБ. Теперь в эти события добавляется информация о результатах проверки средством PT IoC.

Технические особенности:

  • Обновление гипервизора Xen
    При поведенческом анализе файлов в PT Sandbox возможна остановка ВМ, развернутых из образов Windows 7, Astra Linux и «РЕД ОС». Для исправления этой ошибки вам необходимо переустановить гипервизор Xen, используя обновленный установочный пакет. В зависимости от используемой вами конфигурации PT Sandbox, гипервизор необходимо переустановить на основном или дополнительных узлах с функцией поведенческого анализа согласно инструкциям в Руководстве администратора (см. раздел 11.2.1 или 11.3.2).

Внимание! Для получения установочного пакета гипервизора Xen обратитесь в службу технической поддержки Positive Technologies.

  • Средство проверки PT IoC включено по умолчанию
    Теперь после развертывания PT Sandbox средство проверки PT IoC будет включено по умолчанию. Все поступившие на проверку и извлеченные дочерние файлы и ссылки будут проверяться по индикаторам компрометации.
Служба поддержки
Возникли вопросы?