محافظت از دادهها و اطلاعات ارزشمند شما، امری حیاتی است. فایلهای مشکوک میتوانند به سیستم شما نفوذ کرده و خسارات جبرانناپذیری را به بار آورند. محیط Sandbox آنتی ویروس سیمانتک با ارائه یک لایه دفاعی قدرتمند، از سیستم شما در برابر این تهدیدات محافظت میکند.
فایلها را میتوانید به روشهای زیر برای تجزیه و تحلیل بیشتر به محیط Sandbox ارسال کنید:
پیشنهاد مطالعه:
ارسال خودکار فایلها به محیط Sandbox
ارسال خودکار فایلها به محیط Sandbox در آنتیویروس سیمانتک یکی از ویژگیهای کلیدی برای تحلیل و بررسی تهدیدات ناشناخته است. این فرآیند به منظور شناسایی رفتارهای مشکوک یا بدافزارهای جدیدی که ممکن است توسط سیستمهای تشخیص سنتی شناسایی نشوند، انجام میشود.
وقتی یک فایل مشکوک توسط آنتیویروس تشخیص داده میشود، در وهله اول این فایل به محیط Sandbox ارسال میشود. محیط Sandbox در واقع یک فضای ایزوله و امن است که فایل مورد نظر در آن اجرا و تحلیل میشود. این محیط هیچ ارتباطی با سیستم اصلی ندارد، به طوری که در صورت وجود کد مخرب هیچ آسیبی به سیستم وارد نمیشود. مراحل کار به صورت زیر است:
تشخیص فایل مشکوک: آنتیویروس سیمانتک از طریق اسکنهای عادی یا مبتنی بر رفتار، فایلهایی را که به نظر مشکوک میآیند شناسایی میکند. این فایلها میتوانند ناشناخته یا مشابه تهدیدات جدید باشند.
ارسال به محیط Sandbox: فایل شناسایی شده بهطور خودکار به محیط Sandbox که معمولاً در یک فضای ابری امن یا محیط ایزوله ایجاد شده است، ارسال میشود.
تحلیل و اجرا: در محیط Sandbox، فایل بهطور کامل اجرا و رفتار آن بررسی میشود. فعالیتهایی مثل دسترسی به رجیستری، ارتباطات شبکهای، تغییرات در فایلهای سیستم و دیگر رفتارهای مشکوک بررسی میشوند.
گزارش و تصمیمگیری: پس از تحلیل، گزارش جامعی از رفتار فایل تهیه میشود. اگر رفتار فایل مخرب باشد، سیمانتک فایل را به عنوان یک تهدید شناسایی کرده و اقدام به قرنطینه یا حذف آن میکند. اگر بیخطر باشد، به فعالیت خود ادامه میدهد.
این تکنیک در جلوگیری از حملات Zero-Day و بدافزارهای ناشناخته بسیار مؤثر است. از آنجا که بدافزارها همیشه در حال تغییر و بهروزرسانی هستند، استفاده از محیطهای Sandbox یکی از بهترین راهحلها برای مقابله با تهدیدات جدید و ناشناخته است.
ارسال دستی فایلها به محیط Sandbox
ارسال دستی فایلها به محیط Sandbox در آنتیویروس سیمانتک یکی از رویکردهای مؤثر برای تحلیل تهدیدات خاص یا فایلهای مشکوکی است که بهصورت خودکار شناسایی نشدهاند.
اگر فایل مشکوکی را در محیط خود تشخیص دادید، میتوانید فایلها را بهطور دستی نیز برای تجزیه و تحلیل به محیط Sandbox ارسال کنید.
در ادامه متن برخی از محدودیتهای مربوط به ارسال دستی فایلها به محیط Sandbox آمده است:
- روزانه حداکثر 100 ارسال برای یک دامنه مشتری مجاز است.
- اگر نتایج محیط Sandbox برای یک فایل در دسترس باشد، نمیتوانید همان فایل را برای 7 روز آینده به محیط Sandbox ارسال کنید.
- حداکثر اندازه فایل برای ارسال 20 مگابایت است.
شما میتوانید فایل Portable Executable یا یک فایل Non-Portable Executable را انتخاب کنید. اگر فایل از نوع Non-Portable Executable باشد، میتوانید یا از اعتبارسنجی ویندوز (Windows credentials) استفاده کنید یا با روش OTP برای اتصال به دستگاه اقدام کنید.
هنگامی که یک فایل برای تحلیل به Sandbox ارسال میشود یک Incident مرتبط ایجاد میگردد. برای مشاهده جزئیات Incident، به صفحه Incidents and Alerts > Incidents در کنسول مراجعه کرده و سپس Incident مورد نظر را انتخاب کنید.
استفاده از دستور Get File برای ارسال فایلها به محیط Sandbox
گاهی اوقات وقتی عملیات Submit to Sandbox بر روی یک فایل اجرا میشود، به Symantec Agent دستور داده میشود تا فایلها را بازیابی کند. سپس Symantec Agent دستور Get File را اجرا میکند تا فایل را برای مطابقت Hash بازیابی کند.
یک ویژگی به نام Get File Command ID که با دستور Get File برای Sandboxing فایل مرتبط است، در پنل جزئیات رویداد مربوط به event type_id 12 قابل مشاهده است.
نمونه زیر نشان میدهد که چگونه از ویژگی Get File Command ID برای بررسی درخواست دستور Get File در زمان اجرای دستور Submit to Sandbox استفاده میشود.
