Introduction

Sandboxing یک security practice  میباشد که در آن از یک محیط ایزوله یا یک “sandbox” برای آزمایش استفاده میشود. در SandBox  میتوانید کدی را در یک محیط ایمن و ایزوله بدون تأثیر بر برنامه، سیستم یا پلتفرم تجزیه و تحلیل کنید . در این مقاله توضیحات تکمیلی در ارتباط با FortiSandbox محصول شرکت Fortinet  همچنین نحوه پیکربندی آن بطور کامل و با درج تصاویر مربوطه جهت مطالعه و اشنایی با قابلیت های آن درج شده است .

FortiSandbox

Next Generation AI Powered Sandbox

 

FortiSandbox یک راه حل امنیتی با کارایی بالا  میباشد که از فناوری Machine learning/AI برای شناسایی و جداسازی تهدیدات پیشرفته در زمان Real استفاده میشود. FortiSandbox فایل‌ها ، وب‌سایت‌ها ، آدرس‌های اینترنتی و ترافیک های  شبکه را از نظر فعالیت‌های مخرب از جمله تهدیدات ZeroDay بررسی می‌کند و از فناوری sandboxing برای تجزیه و تحلیل فایل‌های مشکوک در یک محیط مجازی امن استفاده می‌کند.لازم به ذکر میباشد که FortiSandbox چندین سیستم عامل و انواع فایل ها را پشتیبانی می کند و قابلیت های گزارش دهی برای شناسایی و پاسخدهی سریع به تهدیدات را فراهم می کند و برای تمامی مناسب میباشد . می‌تواند در فضای ابری یا به‌عنوان یک سرویس میزبان مستقر شود و به‌طور بومی با 11 محصول Security Fabric و سایر ابزارها برای ارزیابی محتوای مشکوک ادغام خواهد شد .

 

Security Fabric IntegrationFortiSandbox

به طور بومی با FortiGate، FortiMail، FortiWeb، FortiADC، FortiProxy، FortiClient (عامل ATP)، راه‌حل‌های Fabric Ready Partner و از طریق JSON API یا ICAP با third party security vendors ادغام می‌شود.

 

Threat Mitigation

FortiSandbox به طور منحصربه‌فردی با محصولات مختلف از طریق پلتفرم Security Fabric ادغام می‌شود که استراتژی breach protection شما را با یک راه‌اندازی فوق‌العاده ساده ، خودکار خواهد کرد . هنگامی که کد مخرب شناسایی شد، FortiSandbox رتبه‌بندی ریسک را برمی‌گرداند و اطلاعات محلی به‌طور هم‌زمان با Fortinet، Fabric Ready Partners و راه‌حل‌های امنیتی  third-party برای کاهش و ایمن‌سازی در برابر تهدیدات پیشرفته جدید به اشتراک گذاشته می‌شود. اطلاعات محلی را می توان به صورت اختیاری با آزمایشگاه FortiGuard به اشتراک گذاشت تا به حفاظت از سازمان ها در سطح جهانی کمک کند.این نمودار جریان فرآیند automated mitigation  را توصیف خواهد کرد :

فایل و URL را برای تجزیه و تحلیل از FortiGate، FortiMail، Client یا File Server ارسال کنید.فایل مشکوک و URL درون خطی دستگاه را مسدود کنید یا روی کلاینت قرنطینه کنید.برای اشتراک گذاری اطلاعات، IoC ها را با دستگاه های FortiGate (اختیاری برای FortiGuard) به اشتراک بگذارید.

 

MITRE ATTACK-based Reporting and Investigative Tools

FortiSandbox یک گزارش تجزیه و تحلیل دقیق ارائه می دهد که تکنیک های بدافزار کشف شده را به چارچوب MITER ATT&CK با ابزارهای تحقیقاتی قدرتمند داخلی که امکان امنیت را فراهم می کند، ترسیم می کند. تیم های عملیات (SecOps) برای دانلود بسته های ضبط شده، فایل اصلی، گزارش ردیاب، اسکرین شات بدافزار. IOCهای سازگار با STIX 2.0 ، اطلاعات غنی از تهدید و actionable را پس از بررسی پرونده ها ارائه می دهند.یکی دیگر از قابلیت های FortiSandbox  بدین صورت میباشد که به تیم‌های SecOps اجازه می‌دهد تا به صورت اختیاری یک ویدیو ضبط کنند یا در یک محیط شبیه‌سازی شده با بدافزار تعامل داشته باشند.

MITRE ATT&CK Matrix with Built-in Tools

 

 NetShare Scan

FortiSandbox همچنین اسکن مخازن فایل ها را از طریق CIF، NFS، AWS S3 Buckets و Azure Blob تسهیل می کند. این ویژگی به مدیر سیستم و میزبانی وب اجازه می دهد تا هرگونه اشتراک گذاری فایل را پاکسازی کنند. این گزینه ایده آل برای تقویت رویکرد حفاظت از تهدید چند vendor موجود شده است . 

 

HA-Cluster

این ویژگی در FortiSandbox به طور بومی از clustering برای افزایش ظرفیت throughput تا 99 worker nodes را پشتیبانی می کند. ویژگی HA افزونگی را برای عملیات بحرانی بدون وقفه فراهم می کند.

 

Platform as a Service (PaaS)

خدمات میزبانی شده FortiSandbox همان ادغام Fortinet Security Fabric را به عنوان  FortiSandbox appliances ارائه می دهد. FortiSandbox (PaaS) به راحتی می‌تواند برای تسهیل نیازهای تجاری فعلی و آتی بدون سرمایه‌گذاری‌های بزرگ، مقیاس‌بندی شود و هزینه‌های عملیاتی کمتری را ارائه دهد. Fortinet  همچنین از طرف شما پلتفرم را نگهداری، به روز رسانی و اجرا خواهد کرد.

 

Real Time Anti-Phishing

FortiSandbox v4.4 محافظت در برابر فیشینگ ZeroDay را  نیز فراهم می کند. فرآیند بدین صورت میباشد که URL های استخراج شده از ایمیل ها و جاسازی شده از اسناد در FortiGuard Cloud پردازش می شوند ، صفحات وب در زمان واقعی دانلود و با استفاده از فناوری های ثبت شده برای تعیین علائم فیشینگ تجزیه و تحلیل خواهند شد.

 

حفاظت از تهدیدات پیشرفته به شرح ذیل میباشد :

•  Inline blocking برای شناسایی و محافظت در برابر بدافزارهای Zero-day از جمله ransomware
•  شناسایی بلادرنگ سایت‌های فیشینگ Zero-dayاز جمله سایت‌های spam و malware-hosted
•  تجزیه و تحلیل کد استاتیک مبتنی بر AI-powered که تهدیدات احتمالی را در کدهای غیرقابل اجرا شناسایی خواهد کرد .
•  شبیه سازی VM-Less مبتنی بر یادگیری عمیق کدهای اجرایی ویندوز (PEXBox)
•   تشخیص تهدید شبکه در حالت sniffer فعالیت‌های botnet  و حملات شبکه، بازدیدهای URL مخرب را شناسایی خواهد کرد .
•   Sandbox Community Cloud برای تجزیه و تحلیل مشترک در جامعه جهانی استقرار FortiSandbox

 

 System Integration Support

•   ارسال فایل و URL توسط دستگاه های Security Fabricحالت یکپارچه با FortiGate، HTTP، SMTP، POP3، IMAP، MAPI، FTP، IM و نسخه های رمزگذاری شده SSL  و معادل آنها .حالت یکپارچه با FortiMail. SMTP، POP3، IMAP .حالت یکپارچه با FortiClient EMS. HTTP، FTP، SMB .حالت یکپارچه با FortiWeb. HTTP
•  حالت Sniffer  HTTP، FTP، POP3، IMAP، SMTP، SMB .
• بازرسی پروکسی از طریق ICAP
•   حالت MTA/BCC از طریق SMTP
•  حالت اسکن NetShare از طریق CIF، NFS، AWS S3 و Azure Blob
•  به روز رسانی Dynamic Threat Intelligence DB از URL فایل های مخرب
•  JSON API برای آپلود خودکار نمونه ها و دانلود actionable malware قابل اجرا جهت اصلاح
•   ثبت از راه دور و ایمن با سرورهای FortiAnalyzer، FortiSIEM، CEF و سرورهای syslog

 

 Deployment

•  ارسال فایل از دستگاه های یکپارچه
•  استقرار حالت Sniffer با پشتیبانی TCP RST برای بازنشانی اتصال مشتری با suspicious server
•  اسکن اشتراک شبکه با پشتیبانی از فایل های بزرگ (به عنوان مثال، تصاویر ISO، پوشه های مشترک شبکه، SMB/NFS، AWS S3 و Azure Blob)
•  ارسال Proxy adapter با پشتیبانی multi-tenancy .
•   استقرار OT با خدمات پشتیبانی شده : BACnet، HTTP، IPMI، Modbus، S7comm، SNMP، TFTP
•  High-availability با گره های اولیه و ثانویه برای redundancy
•  Port monitoring برای  cluster fail-over
•    Clustering تا 99 worker nodes برای throughput بالاتر
•   پشتیبانی از شبکه های دارای Air-gapped
• پشتیبانی از Aggregate interface برای افزایش پهنای باند و redundancy
•  Isolated administrative traffic از  VM image traffic

 

 Advanced Scan (Static AI Scan) Features

•  یکپارچه شده با پایگاه داده کامل آنتی ویروس FortiGuard از امضاهای اکتشافی و کنترلی.
•  پروفایل adaptive scan ​​هوشمند که منابع sandbox را بر اساس ارسال‌ها بهینه کنید.
•   Parallel scan برای اجرای چندین نوع ماشین مجازی متمایز به طور همزمان.
•  URL های جاسازی شده در کد QR را استخراج کنید.
•   URLs embedded تعبیه شده در فایل های سند را اسکن  کنید.
•    با قوانین third-party Yara یکپارچه میشود.
•   Cloud query برای آخرین بدافزارهای شناخته شده و فایل های پاک.
•   File checksum گزینه‌های whitelist and blacklist
•  URL ها را از ایمیل ها و فایل های ارسالی اسکن  کنید
•  رتبه بندی Engine Plus که از آخرین رتبه بندی FortiGuard ML بهره می برد
•   VM scan ratio برای  efficient utilization of VMs

 

 پشتیبانی از Sandboxing (Dynamic AI Scan) 

•  تجزیه و تحلیل رفتاری مبتنی بر AI-powered به طور مداوم در حال یادگیری new malware و تکنیک های ransomware میباشد .
•  نمونه های Sandbox همزمان .
•   نوع سیستم عامل پشتیبانی شده: Windows 11/10/8.1/7، macOS، Linux، Android و سیستم های ICS .
•  ماشین های مجازی قابل تنظیم برای سیستم عامل ویندوز و لینوکس .
• internet browser قابل تنظیم که از Internet Explorer، Microsoft Edge، Google Chrome و Mozilla Firefox پشتیبانی می کند.
• حالت تعاملی Sandbox
•  ضبط ویدئویی از تعامل malware
• تکنیک Anti-evasion detection

API Obfuscation • Bare-metal Detection • Command and Control • Direct System Calls • Execution Delay • Memory Only Payload • Process Hollowing/Injection

Runtime Encryption/Packing • System Fingerprinting • Time Bomb • User Files Check • User Interaction Check • VM/Sandbox Detection

 

• Callback detection از URL مخرب، ارتباطاتBotnet C&C و ترافیک مهاجم از activated malware
• بسته های ضبط شده، tracer logs و اسکرین شات های قابل دانلود
•  پشتیبانی از انواع فایل :

• Android files: .apk • Linux files: .elf • MacOS files: .app, .dmg, Mach-O • Web files: .htm, html, .lnk, WEBLink • Compress files: .7z, .ace, .arj, .bz2, .gz,.iso, .jar, .kgb, .lzh, .rar, .swf, .tar, tgz,.upx, .xz, .z, .zip

• Windows Executables: .bat, .cab, .cmd,.dll, .exe, .js, .msi, .ps1, .vbs, wsf • Microsoft Office: .doc, .docm, .docx, .dot,.dotm, .dotx, .iqy, .one, .pot, .potm, .potx,.ppt, .pptm, .pptx, .ppam, .pps, .ppsm,.ppsx, .pub, .rtf, .sldm, .sldx, .xlam, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, xltx • Document/Email files: .eml, .pdf, .rl

• پسوندهای تعریف شده توسط کاربر

Monitoring and Reporting

• ویجت های داشبورد برای اتصال و خدمات، وضعیت license ، عملکرد اسکن، منابع سیستم .
•   صفحه عملکرد را برای ردیابی historical usage اسکن کنید .
• ویجت های نظارت در زمان واقعی . آمار نتایج اسکن، فعالیت‌های اسکن (over time)، میزبان‌های هدفمند برتر، بدافزارهای برتر، infectious URLs برتر، callback domains برتر .
• نمایشگر رویداد Drilldown. Dynamic table شامل اقدامات، نام بدافزار، رتبه‌بندی، نوع، منبع، مقصد، زمان شناسایی و مسیر دانلود .
• Reports and logging. رابط کاربری گرافیکی، دانلود PDF و raw log file .
• تولید گزارش کار دقیق
• گزارش های دوره ای از وضعیت و عملکرد سیستم
• تولید گزارش دوره ای آمار اسکن و استفاده از منابع سیستم·
• پشتیبانی از MITRE ATT&CK v11·
• لاگ های ردیاب، PCAP و نشانگرها را در قالب STIX 2.0 دانلود کنید.
• ایمیل های اعلان هنگام شناسایی یک فایل مخرب.
• گزارش های هفتگی به لیست های ایمیل جهانی و مدیران .

 

  Administration 

•  پیکربندی از طریق GUI و CLI .
• چندین حساب administrator که از دسترسی کامل یا view only پشتیبانی می کنند .
•  Radius authentication برای  administrators  .
• Single Sign-On via SAML .
•  widget خود را برای پیکربندی ها، اتصالات و خدمات بررسی کنید .
• صفحه مدیریت Cluster برای مدیریت HA and cluster nodes .
• صفحه جستجوی متمرکز که به مدیران امکان می دهد شرایط جستجوی سفارشی ایجاد کنند .
• هر license را از یک صفحه راحت آپلود کنید .
• نظارت بر وضعیت VM .
• به روز رسانی خودکار engine  و signature .
• Automatic check برای در دسترس بودن تصویر VM جدید .
• سیستم هشدار سلامت سیستم .
• NTP از طریق پشتیبانی FortiGuard .
• پشتیبان گیری، بازیابی و بازبینی پیکربندی سیستم .
•  CLI تلفیقی برای troubleshooting .
•  گزینه ای برای ارسال خودکار فایل های مشکوک به cloud service برای تجزیه و تحلیل manual و ایجاد signature .
• گزینه ای در حالت اسکن NetShare برای اولویت بندی و ارسال فایل ها به third-party scanning برای اسکن بیشتر .

 

پیکربندی های FortiSandBox

 در نسخه 3.2.0 و بالاتر، اولین باری که با استفاده از CLI وارد می شوید، باید  رمز عبور Admin را تنظیم کنید. (6–64 characters)می توانید دسترسی SSH و Telnet را در رابط پورت 1 (administration) یا هر پورت مدیریتی دیگری که از طریق پورت مدیریت مجموعه دستورات CLI تنظیم شده است، فعال کنید و از طریق SSH یا Telnet به CLI دسترسی داشته باشید تا دستگاه از جمله مشکلات هارد دیسک مربوط به RAID را عیب یابی کنید. همچنین می توانید از طریق پورت کنسول به CLI متصل شوید .

 جهت متصل شدن به فضای GUI FortiSandBox  :

1. آدرس IP کامپیوتر مدیریت را به 192.168.0.2 و NetworkNetmask را به 255.255.255.0 تغییر دهید.

2. یک مرورگر وب پشتیبانی شده را راه اندازی کنید و به https://192.168.0.99 مراجعه کنید.

•  Update the firmware

قبل از هر به روز رسانی Firmware ، موارد زیر را انجام دهید :

 1-Download the FortiSandbox firmware image and Release Notes document from the Fortinet Customer Service &Support portal then Review the Release Note

2-Backup your configuration file

3-Plan a maintenance window to complete the firmware update.

test your FortiSandbox device to ensure that the update was successful-4

• Change the system host name

ویجت اطلاعات سیستم نام کامل میزبان را نمایش می دهد. در صورت نیاز می توانید نام میزبان FortiSandbox را تغییر دهید.

• Backup or restore the system configuration

توصیه می شود که یک فایل پشتیبان سیستم را به عنوان بخشی از برنامه تعمیر و نگهداری خود ایجاد کنید. همیشه قبل از ارتقا سیستم عامل یا ایجاد تغییرات عمده در پیکربندی سیستم، یک نسخه پشتیبان تهیه کنید.

• Configure the system time

می توانید زمان سیستم FortiSandbox را به صورت محلی پیکربندی کنید یا انتخاب کنید تا با یک سرور NTP همگام شود .

• Change the administrator password
• بسیار توصیه می شود که یک رمز عبور به admin administrator account اضافه کنید.

Dashboard widgets

Dashboard > Status displays

ویجت هایی که اطلاعات سیستم را ارائه می دهند و شما را قادر می سازند تنظیمات اولیه سیستم را پیکربندی کنید.

 

Security Fabric

پنج روش برای وارد کردن فایل ها به FortiSandbox شما وجود دارد:

• 1-Mode sniffer
• 2- mode device (including FortiGate, FortiMail, FortiWeb, and FortiClient endpoints)
• 3-adapter
• 4-network share
• 5-در صورت تقاضا (JSON API Call and GUI submission)

Sniffer

حالت Sniffer به شما امکان می‌دهد FortiSandbox خود را به گونه‌ای پیکربندی کنید که تمام ترافیک روی رابط‌های مشخص شده را sniff  کند . هنگامی که FortiSandbox فایل ها را دریافت می کند ، آنها در ماژول های VM اجرا و اسکن می شوند. حالت Sniffer از این پروتکل ها پشتیبانی می کند: HTTP، FTP، POP3، IMAP، SMTP، SMB، DNS و TCP Raw.

Device

 در حالت Device، می‌توانید دستگاه‌های FortiGate، FortiWeb، FortiClient، FortiMail، FortiProxy و FortiADC خود را برای ارسال فایل‌ها به FortiSandbox پیکربندی کنید. برای FortiGate، می توانید تمام فایل ها را برای بررسی وضعیت ارسال کنید. برای FortiMail، می‌توانید پیوست‌های ایمیل یا URLهای موجود در بدنه ایمیل را برای بررسی به FortiSandbox ارسال کنید، یا فقط موارد مشکوک را ارسال کنید. هنگامی که FortiSandbox فایل ها یا URL ها را دریافت می کند در ماژول های VM اجرا و اسکن می شوند. FortiSandbox آمار را به FortiGate، FortiWeb و FortiMail ارسال می کند. هنگامی که با FortiGate یکپارچه می شود که پروتکل های پشتیبانی شده عبارتند از: HTTP، FTP، POP3، IMAP، SMTP، MAPI، IM، و نسخه های رمزگذاری شده SSL  و معادل آنها.

Adapter

FortiSandbox از آداپتورها برای اتصال به محصولات third-party مانند سرور Carbon Black/Bit9، ICAP و کلاینت های mail gateway استفاده می کند. FortiSandbox آداپتورهای ICAP، BCC و MTA را ایجاد می کند که نمی توان آنها را حذف کرد  وآنها به طور پیش فرض غیرفعال میباشند .

Network Share

FortiSandbox می‌تواند فایل‌های ذخیره‌شده در یک اشتراک شبکه را اسکن کند و به‌صورت اختیاری هر فایل مخرب را قرنطینه کند . اسکن‌های Network share را می‌توان بر اساس تقاضا برنامه‌ریزی یا اجرا کرد . همچنین  اتصال با Network share را می‌توان آزمایش کرد.

Scan Policy and Object

Scan Profile

Configure the types of files that are put into the job queue

Configure the VM image to scan pre-defined file types and user defined file types

Enable adaptive VM scan

Enable parallel VM scan

Configure VM scan ratio

 

System

برای مدیریت و پیکربندی گزینه های اساسی سیستم برای واحد FortiSandbox، صفحات سیستم را مشاهده کنید. این شامل پیکربندی سرپرست، تنظیمات سرور ایمیل و اطلاعات نگهداری می شود.

SNMP

با استفاده از SNMP، سیستم FortiSandbox شما برای رویدادهای سیستم از جمله استفاده از CPU، استفاده از حافظه، فضای گزارش دیسک، تغییرات رابط، و شناسایی بدافزار نظارت می‌کند. SNMP دارای دو بخش میباشد – SNMP agent یا دستگاهی که تله ها را ارسال می کند و SNMP manager که آن تله ها را نظارت می کند.پیاده سازی FortiSandbox SNMP   read-only میباشد . برنامه های مدیریت SNMP سازگار با SNMP v1، v2c، v3، مانند برنامه های موجود در رایانه محلی شما، به اطلاعات سیستم FortiSandbox دسترسی read-only دارند و می توانند تله های سیستم FortiSandbox را دریافت کنند.

HA-Cluster

یک دستگاه FortiSandbox می‌تواند تعداد محدودی فایل را در یک بازه زمانی معین اسکن کند. برای مدیریت بارهای سنگین‌تر، می‌توانید از چندین دستگاه FortiSandbox در یک کلاستر با در دسترس بودن بالا (HA) استفاده کنید.

There are three types of nodes in a cluster: primary, secondary, and worker

Primary node   (Unit 1 in the diagram) cluster را مدیریت می کند، مشاغل را توزیع می کند و نتایج را جمع آوری می کند و با مشتریان تعامل دارد.Secondary node (Unit 2 in the diagram) برای پشتیبانی HA و اسکن فایل های معمولی میباشد. وضعیت گره اولیه را کنترل می کند و اگر primary از کار بیفتد،secondary  نقش اولیه را بر عهده می گیرد.Worker nodes (Units 3–5 in the diagram) اسکن های عادی فایل را انجام می دهند و نتایج را به گره های primary and secondary گزارش می دهند. آنها همچنین می توانند اطلاعات دقیق شغل را ذخیره کنند.

Log & Report

از صفحه Log & Report  میتوانید برای مشاهده و بارگیری همه گزارش‌های جمع‌آوری‌شده توسط دستگاه، دسترسی به گزارش‌های زمان‌بندی‌شده و تولید گزارش‌ها استفاده کنید . همچنین می‌توانید گزارش‌های محلی را در FortiSandbox ببینید یا یک سرور گزارش از راه دور راه‌اندازی کنید، سروری  که FortiAnalyzer را پیوند می‌دهد.

 Report Center

در FortiSandbox، زمانی که کاربر گزارشی را تولید می‌کند، می‌تواند منتظر بماند تا گزارش آماده مشاهده شود، یا از آنجا دور شده و بعداً گزارش را در صفحه مرکز گزارش پیدا کند.

This page displays the following information:

Status                        The status of report generation process: Done, Stopped, or In Progress.

Start Time                  The time report generation starts.

Finish Time                 The time report is ready.

Report Type                The type of report: PDF or CSV.

Report Size                 The size of the report, in kilobytes.

Progress                     Percentage that the report has finished.

Source                       The location that the report is scheduled to generate.

Detection Period          The time range of the jobs that this report contains.

Actions                        You can view, delete, and download a report.

Pagination                 Adjust the number of reports that are listed per page and browse through the pages. When you click on any entry on this page,detailed information about thereport is displayed, including the job filtering criteria.