Saiba como extrair relatórios do Sophos Sandstorm

Por Cristiano Ribeiro

O Sophos Sandstorm oferece um ambiente em sandbox em nuvem dedicado para impedir ameaças desconhecidas e de zero-day mais recentes, como ransomware, e mantê-las fora de sua rede e longe de seus terminais. Disponível com o Sophos XG Firewall, UTM, Web Appliance e Secure Email Gateway, o Sophos Sandstorm usa a tecnologia sandbox da nuvem de última geração para dar à sua organização uma camada extra de segurança contra ameaças evasivas como ransonmware e malware de zero-day disfarçados como executáveis, PDFs e documentos do Microsoft Office.

Next-generation Advanced Threat Defense

O Sophos Sandstorm usa a tecnologia de próxima geração em nuvem para oferecer uma proteção extra de segurança contra ataques direcionados. O Sandbox analisa e tem uma aprendizagem profunda para uma detecção maior de ataques.

Vamos mostrar abaixo, como extrair esses dados do Sandstorm no Sophos.

Requisitos

Nesse caso, como vamos extrair de um Firewall XG, necessitamos que o firewall esteja como gateway da rede;
Versão do Sophos Firewall XG 18 ou superior;
O recurso do Sandstorm precisa estar habilitado e configurado;

Passo a Passo

Abaixo, vamos demonstrar como extrair esses relatórios através do Sophos XG Firewall. Confira!

Através do menu Protect, acesse a opção “Advanced threat -> Threat intelligence”

1- Nessa primeira tela podemos ter um resumo de tudo que foi tratado pelo Sandstorm em sua rede. Podemos analisar os seguintes itens executados em um dispositivo na rede:

O arquivo executado no dispositivo;
Data e hora;
Quantas tentativas e quantos usuários;
Origem;
Tipo de arquivo;
Status
- Se o arquivo foi limpo;
- Se o arquivo provavelmente foi limpo;
Gerenciamento;

Nessa mesma tela, temos um resumo mais específico de um arquivo infectado, como mostrado abaixo:

2- Para temos um relatório mais completo de toda ação feita pelos arquivos maliciosos em sua rede, podemos entrar na opção de “manager” (gerenciamento) ou clicar na opção “View report” quando exibido resumidamente.

Será aberto uma nova tela com toda a investigação e ação tomada pelo Sophos Labs.

Resumo da Análise

Todo processo de análise feito pelo Sophos Labs.

Machine Learning

Ele identifica muitos atributos do arquivo e compara sua ocorrência, individualmente e em diferentes combinações, com milhões de exemplos de malware conhecidos e bons. Os relatórios mostram probabilidades com base nos componentes principais da pontuação geral. Cada componente não é um indicador forte por si só, mas, em combinação, eles fornecem uma visão crítica. Identifica muitas características diferentes de seu arquivo e compara a ocorrências dessas características, individualmente e em combinações, em milhões de malwares conhecidos.

Reputation

Sandstorm detonation

Essa é a parte mais interessante, onde é mostrado o passo a passo da execução de um arquivo para análise em uma máquina virtual do Sophos Labs. São detectadas atividades maliciosas, captura de tela da execução do arquivo malicioso e o caminho do processo executado pelo arquivo.

Atividade Maliciosa:

Captura de tela:

Processos:

File Analysis

Toda a análise do arquivo em detalhes para identificar se é malicioso:

Virus Total Report

No final é gerado um relatório de vírus do arquivo analisado identificando se foi detectado como malware em vários mecanismos. É gerado um link contendo todas as informações e detalhes de detecção relatado por vários mecanismos.

Conclusão

O Sandstorm é uma solução que nos traz um relatório completo, conseguindo analisar arquivos através do Sophos Labs que executa e identifica o que pode ocorrer em um cenário real mas em um ambiente virtual mais rápido e com precisão, assim evitando infecção nos dispositivos. Vale a pena implementar este fantástico recurso da Sophos em sua companhia.