چگونه پالیسی ها را در پنل مدیریتی بسازیم؟ (Sandbox Analyzer)

تحلیلگر جعبه شنی

تحلیلگر جعبه شنی یک لایه ی قدرتمند از محافظت در برابر حملات و تهدیدات پیشرفته ارائه میدهد. این محافظت تمام خودکار میباشد و به تحلیل و جستجوی عمیق فایل های مشکوک میپردازد که تاکنون توسط شناسایی انجین محور آنتی ویروس بیت دیفندر قابل رویت نبوده اند.

 

با ماژول تحلیلگر جعبه ی شنی میتوانید اقدامات زیر را انجام دهید:

  • ارسال خودکار فایل – قابل اجرا با پالیسی های امنیتی و در دسترس برای فایل های باینری

  • ارسال دستی فایل – مجزا از پالیسی ها امنیتی و پشتیبانی از تمامی فرمت های موجود توسط تحلیلگر جعبه شنی

برای مشاهده ی لیست کامل فایل های قابل پشتیبانی که به صورت پیش فرض توسط تحلیلگر رفتارشناسی بیت دیفندر مجزا شده اند. به دفترچه ی راهنمای کاربر مراجع نمایید.

برای ارسال خودکار فایل، فرمت های مشخصی به صورت پیش فرض شامل شده اند که از تحلیل رفتار سنجی منشا میگیرند.

ارسال خودکار

برای پیکر بندی تنظیمات تحلیلگر جعبه شنی در قسمت ارسال خودکار:

  1. به این قسمت بروید Sandbox Analyzer > Local Submission

  2. قسمت Submit objects from local systems را انتخاب نمایید تا قابلیت ارسال خودکار فایل های مشکوک به تحلیلگر جعبه شنی فعال شود.

مهم

  • تحلیلگر جعبه شنی نیازمند اسکن On-access میباشد. از فعال بودن این ماژول امنیتی اطمینان حاصل فرمایید.

  • تحلیلگر جعبه شنی از گزینه ها و استثنا هایی که در بخش Antimalware > On-access Scanning تعریف شده اند استفاده میکند. پیش از هرگونه اقدام، تنظیمات این بخش را مطالعه فرمایید.

  • برای جلوگیری از شناسایی اشتباه (شناسایی نادرست نرم افزار های قانونی) میتوانید استثنا هایی بر اساس نام فایل، پسوند، حجم فایل و مسیر فایل نیز تعیین کنید.

  • میزان حجم آپلود شده حداکثر 50 مگابایت میباشد.

 

3. حالت تحلیل و آنالیز را مشخص کنید. دو گزینه موجود است:

  • نظارت  کاربر میتواند به فایل موجود در تحلیلگر جعبه شنی دسترسی داشته باشد. اما به وی توصیه میشود که تا پایان زمان آنالیز و تحلیل نهایی فایل، آن را اجرا نکند.

  • بلوک (بستن)  تا زمانی که آنالیز و تحلیل نهایی فایل به اتمام نرسد و فایل از کلاسترینگ جعبه ی شنی تحلیلگر به اندپوینت باز نگردد، کاربر اجازه ی اجرای فایل را ندارد.

  1. اقدامات تصفیه را مشخص کنید. این اقدامات زمانی صورت میگیرد که تحلیلگر جعبه شنی بیت دیفندر تهدیدی را شناسایی کند. برای هر حالت آنالیز و تحلیل دو تنظیم به کاربر ارائه میشود که شامل یک اقدام پیش فرض و یک اقدام پشتیبانی (Fallback) میباشد. تحلیلگر جعبه شنی در ابتدا اقدام پیش فرض را انجام میدهد و در صورتی که اولویت اول قادر به تکمیل وظیفه ی خود نباشد، اقدام پشتیبانی نیز به کار خود ادامه میدهد.

زمانی که برای اولین بار به این بخش رجوع شود، تنظیمات زیر به حالت زیر میباشند:

توجه: بر اساس گزارشات، توصیه میشود که از اقدام تصفیه (Remediation) در تنظیمات استفاده گردد.

  • در حالت نظارت (Monitoring)، اقدام پیش فرض بر روی حالت فقط گزارش (Report Only) میباشد. همچنین اقدام پشتیبانی آن غیر فعال است.

  • در حالت بلوک (Blocking)، اقدام پیش فرض بر روی حالت قرنطینه (Quarantine) میباشد. این در حالی است که اقدام پشتیبانی بر روی حذف (Delete) پیکر بندی شده است.

همچنین تحلیلگر جعبه ی شنی نیز اقداماتی جهت تصفیه و پاکسازی را نیز انجام میدهد:

  • ضدعفونی (Disinfect): کد های مربوط به آلودگی را از فایل آلوده شده پاکسازی میکند.

  • حذف (Delete): تمامی فایل شناسایی شده را از حافظه حذف میکند

  • قرنطینه (Quarantine): این قابلیت فایل های شناسایی شده را از محل فعلی به پوشه ی قرنطینه انتقال میدهد. فایل هایی که در قرنطینه هستند امکان اجرا یا باز شدن ندارند، در نتیجه احتمالا آلودگی به صفر میرسد. شما میتوانید فایل های آلوده را در بخش قرنطینه در پنل خود مدیریت نمایید.

  • فقط گزارش (Report Only): تحلیلگر جعبه ی شنی تنها گزارشی از تهدیدات شناسایی شده میدهد و اقدام دیگری انجام نمیدهد.

توجه: با توجه به اقدام پیش فرض، اقدام پشتیبانی (ثانویه) ممکن است در دسترس نباشد.

  1. پیکر بندی تنظیمات اتصال. این تنظیمات شامل آدرس آی پی پورتال تحلیلگر جعبه شنی و پورت ارتباطی میباشد. آدرس پیش فرض به صورت sandbox-portal.gravityzone.bitdefender.com میباشد و پورت ارتباطی آن 443 میباشد.

 

اگر بستر شبکه ی شما بر روی سرور پروکسی یا دیواره آتش میباشد، امکان پیکر بندی تنظیمات پروکسی برای اتصال به پورتال تحلیلگر جعبه شنی با انتخاب گزینه ی استفاده از پروکسی (Use Proxy) میسر است.


فیلد های زیر میبایست تکمیل شوند:

  • سرور (Server): آی پی سرور پروکسی

  • پورت (Port): پورت مورد نظر جهت اتصال به سرور پروکسی

  • نام کاربری (username): نام کاربری که توسط پروکسی تایید شده است

  • گذر واژه (Password): گذر واژه معتبر برای کاربر مشخص

تحلیلگر جعبه ی شنی از ارسال فایل های محلی از طریق اندپوینت های مجموعه پشتیبانی میکند.

توجه: یک تنظیمات پیکر بندی شده ی پروکسی در اتصال به تحلیلگر جعبه شنی بر روی تمامی اندپوینت هایی که نقش ریلی دارند اعمال میشود.