Grata ad novam articulorum seriem, hoc tempore in argumento investigationis incidentis, nimirum analysis malware utens perscriptio punctum forensicum. Antea editi sumus in Smert Event laborantes, sed hoc tempus spectabimus relationes forenses de certis eventibus in diversis products Check Point:
Cur incidit praecaventia forensia momenti? Virum prehendisse videtur, iam bonum est, quid ageret? Ut praxis ostendit, expedit non solum impetum impedire, sed etiam intelligere quomodo operetur: quid aculeus, quid passibilitas adhibeatur, quid processus intersit, num ratio tabulae registrae afficiantur, quae familia virus, damnum potentiale, etc. Haec et alia notitia utilis haberi potest ex relationibus forensibus comprehensivis Point (utriusque textus et graphicus). Difficillimum est talem manualem relationem obtinere. Haec notitia tunc adiuvare potest opportunam actionem et impedire similes impetus ne in posterum succedant. Hodie perscriptio in SandBlast Network forensicas famam perscriptio spectabimus.
SandBlast Network
Usus sandboxes ad tutelam perimetri reticuli confirmandam iam diu communis factus est et tam nuncius compositio est quam IPS. Ad Check Point, comminatio aemulationis ensis, quae pars technologiae SandBlast (est etiam minatio extractionis), est responsalis pro functionitatis sandbox. Iam ante editi sumus etiam pro versione Gaia 77.30 (si id quod nunc loquimur non intelligis si quid nunc loquimur) valde commendamus vigilantes. Ex parte architecturae nihil fundamentaliter mutatum est. Si Portam perscriptio in ambitu reticuli tui habes, tunc duobus optionibus ad integrationem cum sandbox uti potes:
- SandBlast Locus Appliance - Additamentum SandBlast instrumentum in retiaculis tuis inauguratum est, ad quod fasciculi analysi arcessuntur.
- SandBlast Cloud β lima mittuntur pro analysi ad nubem perscriptio.
Sandbox ultima linea defensionis in perimetro retis considerari potest. Iungitur analysi modo per classica media - antivirus, IPS. Et si huiusmodi instrumenta subscriptio traditam nulla fere analytica praebent, sandbox tunc singillatim "indicare" potest cur tabella impedita sit et quid malitiosum sit. Haec relatio forensia ex utroque locali et nubili sandbox obtineri potest.
Reprehendo Point Forensics Report
Dicamus te, ut artifex securitatis informationis, ad opus accessit et ashboardday in SmartConsole aperuit. Confestim vides incidents per 24 horas ultimas et attentio tua ad comminationem aemulationis eventa trahitur - periculosissimas oppugnationes quae sub analysi subscriptio non impeditae sunt.
Potes "terebrare" in haec eventus et videre omnia ligna pro lamina comminationis aemulationis.
Post hoc, ligna praeterea eliquare potes per gradus comminationis criticae (Severitatis), necnon per fiduciam graduum (respondendi fides);
Dilatato eventu cuius interest, cognoscere possumus notitias generales (src, dst, severitatis, mittente, etc.);
Et ibi videre potes sectionem forensics cum praesto Summary nuntiare. Clicking in ea explicatio explicatio malware in forma interactivae HTML paginae aperiet:
(Haec pars paginae est. )
Ex eadem relatione, malware originalem (in archivo tesserae protectae), vel statim responsionem turmam perscriptio percontando contactum esse possumus.
Modo infra videre potes pulchram animationem quae ostendit in recipis vocabulis quae iam nota malitiosa instantia nostra commune habet (including ipsum codicem et macros). Haec analytica tradita sunt per machinam discendi in Perscriptio Perscriptio Cloud.
Tunc prorsus videre potes quales actiones in sandbox nobis concludant hunc fasciculum malignum esse. In hoc casu videmus technicis praeteritis usum et conatum ad redemptionis causarum download:
Animadverti potest hoc in casu, aemulationem in duabus systematibus (Win 7, Win XP) et variis programmatibus interretis (Officium, Adobe) gestum esse. Infra video cum processu aperiendi hunc fasciculum in sandbox:
Exemplum video:
In ipso fine singillatim videre possumus quomodo impetus augeatur. Aut in tabular formam vel graphice;
Illic possumus hanc informationem in forma rudis et pcap file delineare ad analytica genera negotiationis generati in Wireshark:
conclusio,
His indiciis utens, signanter tutelam reticuli tui firmare potes. Obstructionum virus distributionum exercituum, prope vulnerabilitates abutuntur, opiniones possibilium impediunt a C&C et multo magis. Haec analysis omitti non debet.
In articulis sequentibus, similiter relationes agentis SandBlast, SnadBlast Mobile, necnon CloudGiard Saas inspiciemus. Itaque mane in luctum (, , , )!
Source: www.habr.com