Песочница для обнаружения сложного и неизвестного вредоносного ПО.
Защищает от файловых атак и бесфайловых угроз
PT Sandbox
Технические возможности
О продукте
PT Sandbox — система централизованной многоуровневой проверки файлов, ссылок и других объектов, поступающих из различных источников ИТ — и ИБ-инфраструктуры, с целью выявления вредоносной активности и потенциальных угроз информационной безопасности.
Техническая документация
Перейдите на портал PT Help, где собраны руководства, технические материалы, описание функций и требования к продукту
Проверка объектов выполняется с использованием
- статического анализа;
- динамического (поведенческого) анализа;
- антивирусного сканирования;
- проверки по YARA-правилам;
- проверки по индикаторам компрометации (IoC);
- ретроспективного анализа.
Обнаружение и предотвращение угроз
PT Sandbox предназначен для выявления вредоносных объектов, а также для предотвращения их проникновения и распространения в IT-инфраструктуре организации
Многоуровневый анализ
Многоуровневая проверка объектов повышает вероятность обнаружения угроз и позволяет выявлять сложные и неизвестные вредоносные воздействия
Интеграция и обработка трафика
Источники данных и поддерживаемые протоколы
PT Sandbox поддерживает подключение источников различных типов, обеспечивая унифицированную проверку объектов независимо от точки их поступления.
Поддерживаемые классы источников
Схема потоков интеграции Sandbox
Протоколы интеграции
| ICAP | для inline- и near-inline-проверки HTTP (S) и файлового трафика |
| SMTP | для почтовых потоков |
| REST API (HTTP/HTTPS) | для асинхронной передачи объектов |
| Syslog (UDP/TCP) | для передачи событий и телеметрии |
Режимы проверки объектов
Для каждого источника настраивается режим обработки объектов с учётом SLA и допустимого уровня воздействия на бизнес-процессы. Режимы могут комбинироваться в рамках одной инсталляции.
Поддерживаемые режимы
Интеграция с SOC-инфраструктурой
PT Sandbox предоставляет механизмы передачи результатов анализа и событий во внешние системы.
Интеграция с продуктами Positive Technologies
Портал продуктовой документации
На PT Help вы можете ознакомиться с подробным описанием PT ISIM техническими характеристиками, требованиями к инфраструктуре и ограничениями
Эксплуатация, архитектура и контроль состояния
Архитектура решения
Поддерживает горизонтальное масштабирование и отказоустойчивые конфигурации.
Сценарии отказов
При использовании отказоустойчивого кластера PT Sandbox выход из строя аппаратных компонентов, сервера или потеря сетевого доступа к одному из узлов не прерывают проверку файлов. При этом возможна кратковременная недоступность отдельных компонентов, ухудшение производительности или частичная потеря данных.
Сценарии отказов компонентов PT Sandbox
| Компонент | Потерянные данные | Недоступность компонентов и функций | Ухудшение производительности |
|---|---|---|---|
| Служба высокой доступности Keepalived | Результаты проверки файлов, которые проверялись на момент отказа | CAP-сервер, почтовый сервер в режиме зеркалирования, почтовый сервер в режиме фильтрации — 40 секунд | — |
| Веб-интерфейс | — | Веб-интерфейс: до 5 минут | — |
| База данных | Завершенные задания | Запись в базу данных: 20 секунд | — |
| API базы данных | Текущие задания в веб-интерфейсе | Запись в базу данных: 90 секунд | — |
| Ядро проверки | Часть файлов у трети текущих заданий | — | — |
| Хранилище файлов | Файлы | — | Модуль поведенческого анализа, скачивание файлов |
| Модуль поведенческого анализа | — | — | Модуль поведенческого анализа |
Поведенческий анализ
Динамический анализ выполняется в изолированных виртуальных машинах. Поведенческий анализ используется как дополнительный этап проверки при необходимости углублённого исследования объектов.
- статического анализа;
- динамического (поведенческого) анализа;
- антивирусного сканирования;
- проверки по индикаторам компрометации (IoC);
- ретроспективного анализа.
- проверки по YARA-правилам;
Мониторинг и наблюдаемость
Для мониторинга состояния системы используется встроенный стек наблюдаемости на базе Grafana.
| Доступные дашборды |
|
| Почтовые уведомления |
|
Обновление и сопровождение
PT Sandbox поддерживает (обновление выполняется без остановки проверки объектов
Резервное копирование и восстановление
К рабочим станциям администраторов PT Sandbox, выдвигаются следующие аппаратные и программные требования.
| Поддерживается резервное копирование |
|
| Особенности |
|