Support
Новости
Dec
10
PT MultiScanner 5.17.0
Автор Vasiliy Zhukovskiy на 10 December 2024 13:36

PT MultiScanner 5.17.0: возможности

Мы рады сообщить о выходе новой версии PT MultiScanner.

Что нового:

  • Проверка файлов SWF
    Файлы формата SWF используются в качестве контейнеров для хранения данных, например анимации, видео или приложений. Злоумышленники могут использовать такие файлы для выполнения вредоносного кода, скачивания вредоносных файлов или использования уязвимостей Adobe Flash Player. Теперь PT MultiScanner извлекает и проверяет данные, хранящиеся в файлах формата SWF.
  • Дополнительные IP-адреса SMTP-сервера PT MultiScanner
    При подключении источников с типами «Почтовый сервер в режиме зеркалирования» и «Почтовый сервер в режиме фильтрации» для каждого из них в PT MultiScanner создается SMTP-сервер с заданным по умолчанию IP-адресом. Теперь вы можете задавать дополнительные IP-адреса таких SMTP-серверов и использовать их для подключения источников из других сегментов вашей локальной сети.
  • Дополнительные IP-адреса подключения источников
    При подключении источников с типами «ICAP-сервер» и «PT NAD» для каждого из них в PT MultiScanner создается сервер с заданным по умолчанию IP-адресом. Теперь вы можете задавать дополнительные IP-адреса таких серверов и использовать их для подключения источников из других сегментов вашей локальной сети.
  • Просмотр заголовков писем
    Теперь в карточке поступившего на проверку письма вы можете просмотреть не только основные заголовки с адресами (From, To, CC, BCC) и темой, но и все указанные в письме заголовки. Вы можете скопировать заголовки письма или сохранить их в файле.
  • Просмотр кода ответа на запрос по ссылке
    Теперь в карточке поступившей на проверку ссылки вы можете просмотреть код ответа на HTTP-запрос по этой ссылке. В случае переадресации также отображается код ответа на HTTP-запрос для цепочки переадресаций.

Улучшения:

  • Поиск писем по адресу SMTP-сервера
    Для поиска объектов и заданий в PT MultiScanner вы можете использовать язык запросов QL. Теперь вы можете находить объекты и задания с письмами, которые были доставлены SMTP-сервером с определенным адресом. Адрес сервера вы можете указать в запросе с помощью поля envelope.result.smtp_address.
  • Поиск ссылок по ответу на HTTP-запрос
    Теперь с помощью языка запросов QL вы можете находить объекты и задания со ссылками по статусу или коду ответа, полученному PT MultiScanner на HTTP-запрос по этим ссылкам. Статус или код ответа вы можете указать в запросе с помощью полей download_url.reason_phase или download_url.status_code.
  • Просмотр информации о подах
    На странице Конфигурация вы можете просматривать информацию о компонентах и узлах PT MultiScanner. Теперь на отдельной вкладке доступна информация о подах Kubernetes, их распределении по узлам и связям с компонентами.

Примечание: Об изменениях в дистрибуции новых версий ПО и переход на метод канареечного релиза (Canary release).
В качестве снижения возможных рисков при внедрении в промышленную эксплуатацию новых версий (новой функциональности ПО) в продуктах PT MultiScanner и PT Sandbox, начиная c версии 5.17.0 предоставление доступа к новым версиям продуктов будет осуществляться поэтапно, в связи с этим, для некоторых пользователей может увеличиться время ожидания доступности обновления с момента публикации информации о новых версиях.

Читать подробнее...


Подробнее »



Dec
9
PT Sandbox 5.17.0
Автор Vasiliy Zhukovskiy на 09 December 2024 18:22

PT Sandbox 5.17.0: возможности

Мы рады сообщить о выходе новой версии PT Sandbox.

Что нового:

  • Проверка файлов SWF
    Файлы формата SWF используются в качестве контейнеров для хранения данных, например анимации, видео или приложений. Злоумышленники могут использовать такие файлы для выполнения вредоносного кода, скачивания вредоносных файлов или использования уязвимостей Adobe Flash Player. Теперь PT Sandbox извлекает и проверяет данные, хранящиеся в файлах формата SWF.
  • Дополнительные IP-адреса SMTP-сервера PT Sandbox
    При подключении источников с типами «Почтовый сервер в режиме зеркалирования» и «Почтовый сервер в режиме фильтрации» для каждого из них в PT Sandbox создается SMTP-сервер с заданным по умолчанию IP-адресом. Теперь вы можете задавать дополнительные IP-адреса таких SMTP-серверов и использовать их для подключения источников из других сегментов вашей локальной сети.
  • Дополнительные IP-адреса подключения источников
    При подключении источников с типами «ICAP-сервер» и «PT NAD» для каждого из них в PT Sandbox создается сервер с заданным по умолчанию IP-адресом. Теперь вы можете задавать дополнительные IP-адреса таких серверов и использовать их для подключения источников из других сегментов вашей локальной сети.
  • Просмотр заголовков писем
    Теперь в карточке поступившего на проверку письма вы можете просмотреть не только основные заголовки с адресами (From, To, CC, BCC) и темой, но и все указанные в письме заголовки. Вы можете скопировать заголовки письма или сохранить их в файле.
  • Просмотр кода ответа на запрос по ссылке
    Теперь в карточке поступившей на проверку ссылки вы можете просмотреть код ответа на HTTP-запрос по этой ссылке. В случае переадресации также отображается код ответа на HTTP-запрос для цепочки переадресаций.

Улучшения:

  • Правила поведенческого анализа
    Теперь вы можете настраивать правила, по которым PT Sandbox будет проводить поведенческий анализ для различных типов и форматов файлов. В каждом правиле вы можете указать параметры анализа и образ ВМ для выбранного типа или формата файлов. Если файл подпадает под несколько правил, то поведенческий анализ файла выполняется несколько раз с параметрами, указанными в каждом из правил.
  • Поиск писем по адресу SMTP-сервера
    Для поиска объектов и заданий в PT Sandbox вы можете использовать язык запросов QL. Теперь вы можете находить объекты и задания с письмами, которые были доставлены SMTP-сервером с определенным адресом. Адрес сервера вы можете указать в запросе с помощью поля envelope.result.smtp_address.
  • Поиск ссылок по ответу на HTTP-запрос
    Теперь с помощью языка запросов QL вы можете находить объекты и задания со ссылками по статусу или коду ответа, полученному PT Sandbox на HTTP-запрос по этим ссылкам. Статус или код ответа вы можете указать в запросе с помощью полей download_url.reason_phase или download_url.status_code.
  • Просмотр информации о подах
    На странице Конфигурация вы можете просматривать информацию о компонентах и узлах PT Sandbox. Теперь на отдельной вкладке доступна информация о подах Kubernetes, их распределении по узлам и связям с компонентами.

Технические особенности:

  • Запуск до 45 виртуальных машин на дополнительном узле
    Теперь в высоконагруженной конфигурации PT Sandbox на каждом дополнительном узле для поведенческого анализа файлов может запускаться до 45 виртуальных машин одновременно.

    Внимание! Аппаратные ресурсы дополнительного узла должны соответствовать минимальным аппаратным требованиям, указанным в технической документации PT Sandbox для одновременного запуска на узле 45 виртуальных машин.

    Примечание. По умолчанию на дополнительном узле запускается не более 15 виртуальных машин. Вы можете увеличить это количество до 45, выполнив на основном узле PT Sandbox команду sudo ptmsctl system components set -c traps-resource-plugin -p max_shellcode_traps=45.
  • Переход на гипервизор Xen версии 4.19
    Теперь в PT Sandbox используется гипервизор Xen версии 4.19. После обновления компонентов PT Sandbox рекомендуется на узлах с функцией поведенческого анализа вручную обновить гипервизор Xen до новой версии.

    Внимание! Для получения установочного пакета Xen версии 4.19 обратитесь в службу технической поддержки Positive Technologies.

Примечание: Об изменениях в дистрибуции новых версий ПО и переход на метод канареечного релиза (Canary release).
В качестве снижения возможных рисков при внедрении в промышленную эксплуатацию новых версий (новой функциональности ПО) в продуктах PT MultiScanner и PT Sandbox, начиная c версии 5.17.0 предоставление доступа к новым версиям продуктов будет осуществляться поэтапно, в связи с этим, для некоторых пользователей может увеличиться время ожидания доступности обновления с момента публикации информации о новых версиях.

Читать подробнее...


Подробнее »



Dec
6
Все обновления PT Sandbox за год
Автор Vasiliy Zhukovskiy на 06 December 2024 15:14

Все обновления PT Sandbox за год

Привет! Интересно, как изменился PT Sandbox за год? Приходи на трансляцию, где наши эксперты расскажут, как нам удалось значительно увеличить производительность песочницы и снизить требования к серверному оборудованию.

Дата, время: 10 декабря 14:00

Зарегистрироваться

Весь 2024 год мы ускоряли PT Sandbox, наполняли его экспертными правилами и сигнатурами для сложных и новых вредоносных программ, внедряли полезные фичи и дорабатывали продукт, постоянно расширяя его возможности.

Если вы не успели проследить за всеми изменениями, присоединяйтесь!


Вместе вспомним главные вехи развития песочницы:

  • Производительность — как нам удалось ускорить нашу песочницу в 9!!! раз, не потеряв при этом качество обнаружения вредоносных программ.
  • Работа со ссылками — какие новые правила, технологии и подходы мы добавили, чтобы обеспечить расширенный анализ ссылок.
  • Работа с файлами — как мы реализовали поведенческий анализ новых типов и форматов файлов.
  • Возможности кастомизации — новые образы виртуальных машин, кастомные приманки, в том числе для SCADA-систем. И много-много другого.

Регистрируйтесь, чтобы узнать все о функциональных и экспертных возможностях PT Sandbox, а также услышать спойлеры о наших планах на 2025 год.

РЕГИСТРАЦИЯ


Подробнее »