|
|
PT Sandbox 5.5.0: возможности и улучшения
|
Мы рады сообщить о выходе новой версии PT Sandbox.
Что нового:
- Проверка ссылок по индикаторам компрометации
В PT Sandbox добавлено средство проверки Positive Technologies Indicators of Compromise (PT IoC). Это средство предназначено для проверки извлеченных из объектов ссылок по индикаторам компрометации. Индикаторами могут быть скомпрометированные ссылки, IP-адреса или имена доменов. Проверка контента для скомпрометированных ссылок не выполняется.
- Определение некоторых типов файлов PDF как потенциально опасных
Теперь при проверке файлов PDF PT Sandbox относит их к потенциально опасным, если они зашифрованы, содержат объекты OLE, сценарии JavaScript или в них настроены действия при открытии (OpenActions) или любые другие действия (Actions). Вы можете изменить такое поведение, выбрав для файлов PDF необходимые критерии определения их как потенциально опасных. Настройка доступна в параметрах проверки источников и при проверке объектов через интерфейс PT Sandbox.
- Мониторинг сетевых портов при поведенческом анализе в ОС семейства Linux
Теперь при проверке файлов методом поведенческого анализа выполняется мониторинг сетевых портов. Это позволяет собирать информацию о сетевых соединениях, инициированных проверяемым файлом. Отслеживаются соединения по протоколам TCP и UDP версий 4 и 6. Мониторинг сетевых портов доступен в образах ОС семейства Linux.
- Бессрочная лицензия
Теперь вы можете приобрести лицензию PT Sandbox с неограниченным сроком действия. В рамках этой лицензии можно неограниченное время использовать все функции PT Sandbox, в том числе проверять объекты средствами проверки Positive Technologies и методом поведенческого анализа. Время работы антивирусов зависит от их лицензий. Сроки предоставления обновлений и технической поддержки PT Sandbox определяются при покупке лицензии.
Улучшения:
- Выпуск токенов доступа через веб-интерфейс PT Sandbox
Для проверки объектов через API требуется токен доступа. Теперь вы можете выпускать токены доступа через веб-интерфейс PT Sandbox. Предусмотрены токены доступа для проверки объектов с параметрами, передаваемыми в запросе, и токены доступа для проверки объектов с параметрами, которые настраиваются в параметрах добавленного в PT Sandbox источника.
- Новый тип источника для проверки объектов через API
Теперь параметры проверки объектов, которые поступают на проверку через API, можно не только передавать в запросе на проверку, но и настраивать через веб-интерфейс PT Sandbox. Для этого добавлены новый тип источника «API с выбранными параметрами проверки» и соответствующие права для токенов доступа.
- Поддержка источниками файлов протокола SMB 3
Для типов источников «Общая папка» и «Папка-шлюз» теперь поддерживается протокол SMB версии 3 для получения файлов с файлового сервера.
- Дополнительные критерии определения потенциально опасных файлов
PT Sandbox может относить файлы к потенциально опасным на основании статического и поведенческого анализа или на основании дополнительных критериев, указанных в параметрах проверки. Теперь в карточку объекта добавлен отдельный блок с информацией о том, подпадает ли файл под дополнительные критерии потенциально опасных файлов и на основании какого именно критерия он отнесен к потенциально опасным.
- Руководство разработчика
Теперь вместо Справочного руководства по публичному API в комплект документации PT Sandbox входит Руководство разработчика. Кроме информации о доступных функциях публичного API, в это руководство перенесен из Руководства администратора раздел с описанием форматов сообщений syslog, отправляемых во внешние системы. Кроме того, в Руководство разработчика добавлен новый раздел о способах создания дополнительных образов виртуальных машин для поведенческого анализа файлов.
|
|
|
|