PT Sandbox 5.5.0: возможности и улучшения

Мы рады сообщить о выходе новой версии PT Sandbox.

Что нового:

• Проверка ссылок по индикаторам компрометации
  В PT Sandbox добавлено средство проверки Positive Technologies Indicators of Compromise (PT IoC). Это средство предназначено для проверки извлеченных из объектов ссылок по индикаторам компрометации. Индикаторами могут быть скомпрометированные ссылки, IP-адреса или имена доменов. Проверка контента для скомпрометированных ссылок не выполняется.

• Определение некоторых типов файлов PDF как потенциально опасных
  Теперь при проверке файлов PDF PT Sandbox относит их к потенциально опасным, если они зашифрованы, содержат объекты OLE, сценарии JavaScript или в них настроены действия при открытии (OpenActions) или любые другие действия (Actions). Вы можете изменить такое поведение, выбрав для файлов PDF необходимые критерии определения их как потенциально опасных. Настройка доступна в параметрах проверки источников и при проверке объектов через интерфейс PT Sandbox.

• Мониторинг сетевых портов при поведенческом анализе в ОС семейства Linux
  Теперь при проверке файлов методом поведенческого анализа выполняется мониторинг сетевых портов. Это позволяет собирать информацию о сетевых соединениях, инициированных проверяемым файлом. Отслеживаются соединения по протоколам TCP и UDP версий 4 и 6. Мониторинг сетевых портов доступен в образах ОС семейства Linux.

• Бессрочная лицензия
  Теперь вы можете приобрести лицензию PT Sandbox с неограниченным сроком действия. В рамках этой лицензии можно неограниченное время использовать все функции PT Sandbox, в том числе проверять объекты средствами проверки Positive Technologies и методом поведенческого анализа. Время работы антивирусов зависит от их лицензий. Сроки предоставления обновлений и технической поддержки PT Sandbox определяются при покупке лицензии.

Улучшения:

• Выпуск токенов доступа через веб-интерфейс PT Sandbox
  Для проверки объектов через API требуется токен доступа. Теперь вы можете выпускать токены доступа через веб-интерфейс PT Sandbox. Предусмотрены токены доступа для проверки объектов с параметрами, передаваемыми в запросе, и токены доступа для проверки объектов с параметрами, которые настраиваются в параметрах добавленного в PT Sandbox источника.

• Новый тип источника для проверки объектов через API
  Теперь параметры проверки объектов, которые поступают на проверку через API, можно не только передавать в запросе на проверку, но и настраивать через веб-интерфейс PT Sandbox. Для этого добавлены новый тип источника «API с выбранными параметрами проверки» и соответствующие права для токенов доступа.

• Поддержка источниками файлов протокола SMB 3
  Для типов источников «Общая папка» и «Папка-шлюз» теперь поддерживается протокол SMB версии 3 для получения файлов с файлового сервера.

• Дополнительные критерии определения потенциально опасных файлов
  PT Sandbox может относить файлы к потенциально опасным на основании статического и поведенческого анализа или на основании дополнительных критериев, указанных в параметрах проверки. Теперь в карточку объекта добавлен отдельный блок с информацией о том, подпадает ли файл под дополнительные критерии потенциально опасных файлов и на основании какого именно критерия он отнесен к потенциально опасным.

• Руководство разработчика
  Теперь вместо Справочного руководства по публичному API в комплект документации PT Sandbox входит Руководство разработчика. Кроме информации о доступных функциях публичного API, в это руководство перенесен из Руководства администратора раздел с описанием форматов сообщений syslog, отправляемых во внешние системы. Кроме того, в Руководство разработчика добавлен новый раздел о способах создания дополнительных образов виртуальных машин для поведенческого анализа файлов.