Introduction
Sandboxing یک security practice میباشد که در آن از یک محیط ایزوله یا یک “sandbox” برای آزمایش استفاده میشود. در SandBox میتوانید کدی را در یک محیط ایمن و ایزوله بدون تأثیر بر برنامه، سیستم یا پلتفرم تجزیه و تحلیل کنید . در این مقاله توضیحات تکمیلی در ارتباط با FortiSandbox محصول شرکت Fortinet همچنین نحوه پیکربندی آن بطور کامل و با درج تصاویر مربوطه جهت مطالعه و اشنایی با قابلیت های آن درج شده است .
FortiSandbox
Next Generation AI Powered Sandbox
FortiSandbox یک راه حل امنیتی با کارایی بالا میباشد که از فناوری Machine learning/AI برای شناسایی و جداسازی تهدیدات پیشرفته در زمان Real استفاده میشود. FortiSandbox فایلها ، وبسایتها ، آدرسهای اینترنتی و ترافیک های شبکه را از نظر فعالیتهای مخرب از جمله تهدیدات ZeroDay بررسی میکند و از فناوری sandboxing برای تجزیه و تحلیل فایلهای مشکوک در یک محیط مجازی امن استفاده میکند.لازم به ذکر میباشد که FortiSandbox چندین سیستم عامل و انواع فایل ها را پشتیبانی می کند و قابلیت های گزارش دهی برای شناسایی و پاسخدهی سریع به تهدیدات را فراهم می کند و برای تمامی مناسب میباشد . میتواند در فضای ابری یا بهعنوان یک سرویس میزبان مستقر شود و بهطور بومی با 11 محصول Security Fabric و سایر ابزارها برای ارزیابی محتوای مشکوک ادغام خواهد شد .
Security Fabric IntegrationFortiSandbox
به طور بومی با FortiGate، FortiMail، FortiWeb، FortiADC، FortiProxy، FortiClient (عامل ATP)، راهحلهای Fabric Ready Partner و از طریق JSON API یا ICAP با third party security vendors ادغام میشود.
Threat Mitigation
FortiSandbox به طور منحصربهفردی با محصولات مختلف از طریق پلتفرم Security Fabric ادغام میشود که استراتژی breach protection شما را با یک راهاندازی فوقالعاده ساده ، خودکار خواهد کرد . هنگامی که کد مخرب شناسایی شد، FortiSandbox رتبهبندی ریسک را برمیگرداند و اطلاعات محلی بهطور همزمان با Fortinet، Fabric Ready Partners و راهحلهای امنیتی third-party برای کاهش و ایمنسازی در برابر تهدیدات پیشرفته جدید به اشتراک گذاشته میشود. اطلاعات محلی را می توان به صورت اختیاری با آزمایشگاه FortiGuard به اشتراک گذاشت تا به حفاظت از سازمان ها در سطح جهانی کمک کند.این نمودار جریان فرآیند automated mitigation را توصیف خواهد کرد :
فایل و URL را برای تجزیه و تحلیل از FortiGate، FortiMail، Client یا File Server ارسال کنید.فایل مشکوک و URL درون خطی دستگاه را مسدود کنید یا روی کلاینت قرنطینه کنید.برای اشتراک گذاری اطلاعات، IoC ها را با دستگاه های FortiGate (اختیاری برای FortiGuard) به اشتراک بگذارید.
MITRE ATTACK-based Reporting and Investigative Tools
FortiSandbox یک گزارش تجزیه و تحلیل دقیق ارائه می دهد که تکنیک های بدافزار کشف شده را به چارچوب MITER ATT&CK با ابزارهای تحقیقاتی قدرتمند داخلی که امکان امنیت را فراهم می کند، ترسیم می کند. تیم های عملیات (SecOps) برای دانلود بسته های ضبط شده، فایل اصلی، گزارش ردیاب، اسکرین شات بدافزار. IOCهای سازگار با STIX 2.0 ، اطلاعات غنی از تهدید و actionable را پس از بررسی پرونده ها ارائه می دهند.یکی دیگر از قابلیت های FortiSandbox بدین صورت میباشد که به تیمهای SecOps اجازه میدهد تا به صورت اختیاری یک ویدیو ضبط کنند یا در یک محیط شبیهسازی شده با بدافزار تعامل داشته باشند.
MITRE ATT&CK Matrix with Built-in Tools
NetShare Scan
FortiSandbox همچنین اسکن مخازن فایل ها را از طریق CIF، NFS، AWS S3 Buckets و Azure Blob تسهیل می کند. این ویژگی به مدیر سیستم و میزبانی وب اجازه می دهد تا هرگونه اشتراک گذاری فایل را پاکسازی کنند. این گزینه ایده آل برای تقویت رویکرد حفاظت از تهدید چند vendor موجود شده است .
HA-Cluster
این ویژگی در FortiSandbox به طور بومی از clustering برای افزایش ظرفیت throughput تا 99 worker nodes را پشتیبانی می کند. ویژگی HA افزونگی را برای عملیات بحرانی بدون وقفه فراهم می کند.
Platform as a Service (PaaS)
خدمات میزبانی شده FortiSandbox همان ادغام Fortinet Security Fabric را به عنوان FortiSandbox appliances ارائه می دهد. FortiSandbox (PaaS) به راحتی میتواند برای تسهیل نیازهای تجاری فعلی و آتی بدون سرمایهگذاریهای بزرگ، مقیاسبندی شود و هزینههای عملیاتی کمتری را ارائه دهد. Fortinet همچنین از طرف شما پلتفرم را نگهداری، به روز رسانی و اجرا خواهد کرد.
Real Time Anti-Phishing
FortiSandbox v4.4 محافظت در برابر فیشینگ ZeroDay را نیز فراهم می کند. فرآیند بدین صورت میباشد که URL های استخراج شده از ایمیل ها و جاسازی شده از اسناد در FortiGuard Cloud پردازش می شوند ، صفحات وب در زمان واقعی دانلود و با استفاده از فناوری های ثبت شده برای تعیین علائم فیشینگ تجزیه و تحلیل خواهند شد.
حفاظت از تهدیدات پیشرفته به شرح ذیل میباشد :
- Inline blocking برای شناسایی و محافظت در برابر بدافزارهای Zero-day از جمله ransomware
- شناسایی بلادرنگ سایتهای فیشینگ Zero-dayاز جمله سایتهای spam و malware-hosted
- تجزیه و تحلیل کد استاتیک مبتنی بر AI-powered که تهدیدات احتمالی را در کدهای غیرقابل اجرا شناسایی خواهد کرد .
- شبیه سازی VM-Less مبتنی بر یادگیری عمیق کدهای اجرایی ویندوز (PEXBox)
- تشخیص تهدید شبکه در حالت sniffer فعالیتهای botnet و حملات شبکه، بازدیدهای URL مخرب را شناسایی خواهد کرد .
- Sandbox Community Cloud برای تجزیه و تحلیل مشترک در جامعه جهانی استقرار FortiSandbox
System Integration Support
- ارسال فایل و URL توسط دستگاه های Security Fabricحالت یکپارچه با FortiGate، HTTP، SMTP، POP3، IMAP، MAPI، FTP، IM و نسخه های رمزگذاری شده SSL و معادل آنها .حالت یکپارچه با FortiMail. SMTP، POP3، IMAP .حالت یکپارچه با FortiClient EMS. HTTP، FTP، SMB .حالت یکپارچه با FortiWeb. HTTP
- حالت Sniffer HTTP، FTP، POP3، IMAP، SMTP، SMB .
- بازرسی پروکسی از طریق ICAP
- حالت MTA/BCC از طریق SMTP
- حالت اسکن NetShare از طریق CIF، NFS، AWS S3 و Azure Blob
- به روز رسانی Dynamic Threat Intelligence DB از URL فایل های مخرب
- JSON API برای آپلود خودکار نمونه ها و دانلود actionable malware قابل اجرا جهت اصلاح
- ثبت از راه دور و ایمن با سرورهای FortiAnalyzer، FortiSIEM، CEF و سرورهای syslog
Deployment
- ارسال فایل از دستگاه های یکپارچه
- استقرار حالت Sniffer با پشتیبانی TCP RST برای بازنشانی اتصال مشتری با suspicious server
- اسکن اشتراک شبکه با پشتیبانی از فایل های بزرگ (به عنوان مثال، تصاویر ISO، پوشه های مشترک شبکه، SMB/NFS، AWS S3 و Azure Blob)
- ارسال Proxy adapter با پشتیبانی multi-tenancy .
- استقرار OT با خدمات پشتیبانی شده : BACnet، HTTP، IPMI، Modbus، S7comm، SNMP، TFTP
- High-availability با گره های اولیه و ثانویه برای redundancy
- Port monitoring برای cluster fail-over
- Clustering تا 99 worker nodes برای throughput بالاتر
- پشتیبانی از شبکه های دارای Air-gapped
- پشتیبانی از Aggregate interface برای افزایش پهنای باند و redundancy
- Isolated administrative traffic از VM image traffic
Advanced Scan (Static AI Scan) Features
- یکپارچه شده با پایگاه داده کامل آنتی ویروس FortiGuard از امضاهای اکتشافی و کنترلی.
- پروفایل adaptive scan هوشمند که منابع sandbox را بر اساس ارسالها بهینه کنید.
- Parallel scan برای اجرای چندین نوع ماشین مجازی متمایز به طور همزمان.
- URL های جاسازی شده در کد QR را استخراج کنید.
- URLs embedded تعبیه شده در فایل های سند را اسکن کنید.
- با قوانین third-party Yara یکپارچه میشود.
- Cloud query برای آخرین بدافزارهای شناخته شده و فایل های پاک.
- File checksum گزینههای whitelist and blacklist
- URL ها را از ایمیل ها و فایل های ارسالی اسکن کنید
- رتبه بندی Engine Plus که از آخرین رتبه بندی FortiGuard ML بهره می برد
- VM scan ratio برای efficient utilization of VMs
پشتیبانی از Sandboxing (Dynamic AI Scan)
- تجزیه و تحلیل رفتاری مبتنی بر AI-powered به طور مداوم در حال یادگیری new malware و تکنیک های ransomware میباشد .
- نمونه های Sandbox همزمان .
- نوع سیستم عامل پشتیبانی شده: Windows 11/10/8.1/7، macOS، Linux، Android و سیستم های ICS .
- ماشین های مجازی قابل تنظیم برای سیستم عامل ویندوز و لینوکس .
- internet browser قابل تنظیم که از Internet Explorer، Microsoft Edge، Google Chrome و Mozilla Firefox پشتیبانی می کند.
- حالت تعاملی Sandbox
- ضبط ویدئویی از تعامل malware
- تکنیک Anti-evasion detection
API Obfuscation
• Bare-metal Detection • Command and Control • Direct System Calls • Execution Delay • Memory Only Payload • Process Hollowing/Injection |
Runtime Encryption/Packing
• System Fingerprinting • Time Bomb • User Files Check • User Interaction Check • VM/Sandbox Detection |
- Callback detection از URL مخرب، ارتباطاتBotnet C&C و ترافیک مهاجم از activated malware
- بسته های ضبط شده، tracer logs و اسکرین شات های قابل دانلود
- پشتیبانی از انواع فایل :
• Android files: .apk
• Linux files: .elf • MacOS files: .app, .dmg, Mach-O • Web files: .htm, html, .lnk, WEBLink • Compress files: .7z, .ace, .arj, .bz2, .gz,.iso, .jar, .kgb, .lzh, .rar, .swf, .tar, tgz,.upx, .xz, .z, .zip |
• Windows Executables: .bat, .cab, .cmd,.dll, .exe, .js, .msi, .ps1, .vbs, wsf
• Microsoft Office: .doc, .docm, .docx, .dot,.dotm, .dotx, .iqy, .one, .pot, .potm, .potx,.ppt, .pptm, .pptx, .ppam, .pps, .ppsm,.ppsx, .pub, .rtf, .sldm, .sldx, .xlam, .xls,.xlsb, .xlsm, .xlsx, .xlt, .xltm, xltx • Document/Email files: .eml, .pdf, .rl |
- پسوندهای تعریف شده توسط کاربر
Monitoring and Reporting
- ویجت های داشبورد برای اتصال و خدمات، وضعیت license ، عملکرد اسکن، منابع سیستم .
- صفحه عملکرد را برای ردیابی historical usage اسکن کنید .
- ویجت های نظارت در زمان واقعی . آمار نتایج اسکن، فعالیتهای اسکن (over time)، میزبانهای هدفمند برتر، بدافزارهای برتر، infectious URLs برتر، callback domains برتر .
- نمایشگر رویداد Drilldown. Dynamic table شامل اقدامات، نام بدافزار، رتبهبندی، نوع، منبع، مقصد، زمان شناسایی و مسیر دانلود .
- Reports and logging. رابط کاربری گرافیکی، دانلود PDF و raw log file .
- تولید گزارش کار دقیق
- گزارش های دوره ای از وضعیت و عملکرد سیستم
- تولید گزارش دوره ای آمار اسکن و استفاده از منابع سیستم·
- پشتیبانی از MITRE ATT&CK v11·
- لاگ های ردیاب، PCAP و نشانگرها را در قالب STIX 2.0 دانلود کنید.
- ایمیل های اعلان هنگام شناسایی یک فایل مخرب.
- گزارش های هفتگی به لیست های ایمیل جهانی و مدیران .
Administration
- پیکربندی از طریق GUI و CLI .
- چندین حساب administrator که از دسترسی کامل یا view only پشتیبانی می کنند .
- Radius authentication برای administrators .
- Single Sign-On via SAML .
- widget خود را برای پیکربندی ها، اتصالات و خدمات بررسی کنید .
- صفحه مدیریت Cluster برای مدیریت HA and cluster nodes .
- صفحه جستجوی متمرکز که به مدیران امکان می دهد شرایط جستجوی سفارشی ایجاد کنند .
- هر license را از یک صفحه راحت آپلود کنید .
- نظارت بر وضعیت VM .
- به روز رسانی خودکار engine و signature .
- Automatic check برای در دسترس بودن تصویر VM جدید .
- سیستم هشدار سلامت سیستم .
- NTP از طریق پشتیبانی FortiGuard .
- پشتیبان گیری، بازیابی و بازبینی پیکربندی سیستم .
- CLI تلفیقی برای troubleshooting .
- گزینه ای برای ارسال خودکار فایل های مشکوک به cloud service برای تجزیه و تحلیل manual و ایجاد signature .
- گزینه ای در حالت اسکن NetShare برای اولویت بندی و ارسال فایل ها به third-party scanning برای اسکن بیشتر .
پیکربندی های FortiSandBox
در نسخه 3.2.0 و بالاتر، اولین باری که با استفاده از CLI وارد می شوید، باید رمز عبور Admin را تنظیم کنید. (6–64 characters)می توانید دسترسی SSH و Telnet را در رابط پورت 1 (administration) یا هر پورت مدیریتی دیگری که از طریق پورت مدیریت مجموعه دستورات CLI تنظیم شده است، فعال کنید و از طریق SSH یا Telnet به CLI دسترسی داشته باشید تا دستگاه از جمله مشکلات هارد دیسک مربوط به RAID را عیب یابی کنید. همچنین می توانید از طریق پورت کنسول به CLI متصل شوید .
جهت متصل شدن به فضای GUI FortiSandBox :
1. آدرس IP کامپیوتر مدیریت را به 192.168.0.2 و NetworkNetmask را به 255.255.255.0 تغییر دهید.
2. یک مرورگر وب پشتیبانی شده را راه اندازی کنید و به https://192.168.0.99 مراجعه کنید.
- Update the firmware
قبل از هر به روز رسانی Firmware ، موارد زیر را انجام دهید :
1-Download the FortiSandbox firmware image and Release Notes document from the Fortinet Customer Service &Support portal then Review the Release Note
2-Backup your configuration file
3-Plan a maintenance window to complete the firmware update.
test your FortiSandbox device to ensure that the update was successful-4
- Change the system host name
ویجت اطلاعات سیستم نام کامل میزبان را نمایش می دهد. در صورت نیاز می توانید نام میزبان FortiSandbox را تغییر دهید.
- Backup or restore the system configuration
توصیه می شود که یک فایل پشتیبان سیستم را به عنوان بخشی از برنامه تعمیر و نگهداری خود ایجاد کنید. همیشه قبل از ارتقا سیستم عامل یا ایجاد تغییرات عمده در پیکربندی سیستم، یک نسخه پشتیبان تهیه کنید.
- Configure the system time
می توانید زمان سیستم FortiSandbox را به صورت محلی پیکربندی کنید یا انتخاب کنید تا با یک سرور NTP همگام شود .
- Change the administrator password
- بسیار توصیه می شود که یک رمز عبور به admin administrator account اضافه کنید.
Dashboard widgets
Dashboard > Status displays
ویجت هایی که اطلاعات سیستم را ارائه می دهند و شما را قادر می سازند تنظیمات اولیه سیستم را پیکربندی کنید.
Security Fabric
پنج روش برای وارد کردن فایل ها به FortiSandbox شما وجود دارد:
- 1-Mode sniffer
- 2- mode device (including FortiGate, FortiMail, FortiWeb, and FortiClient endpoints)
- 3-adapter
- 4-network share
- 5-در صورت تقاضا (JSON API Call and GUI submission)
Sniffer
حالت Sniffer به شما امکان میدهد FortiSandbox خود را به گونهای پیکربندی کنید که تمام ترافیک روی رابطهای مشخص شده را sniff کند . هنگامی که FortiSandbox فایل ها را دریافت می کند ، آنها در ماژول های VM اجرا و اسکن می شوند. حالت Sniffer از این پروتکل ها پشتیبانی می کند: HTTP، FTP، POP3، IMAP، SMTP، SMB، DNS و TCP Raw.
Device
در حالت Device، میتوانید دستگاههای FortiGate، FortiWeb، FortiClient، FortiMail، FortiProxy و FortiADC خود را برای ارسال فایلها به FortiSandbox پیکربندی کنید. برای FortiGate، می توانید تمام فایل ها را برای بررسی وضعیت ارسال کنید. برای FortiMail، میتوانید پیوستهای ایمیل یا URLهای موجود در بدنه ایمیل را برای بررسی به FortiSandbox ارسال کنید، یا فقط موارد مشکوک را ارسال کنید. هنگامی که FortiSandbox فایل ها یا URL ها را دریافت می کند در ماژول های VM اجرا و اسکن می شوند. FortiSandbox آمار را به FortiGate، FortiWeb و FortiMail ارسال می کند. هنگامی که با FortiGate یکپارچه می شود که پروتکل های پشتیبانی شده عبارتند از: HTTP، FTP، POP3، IMAP، SMTP، MAPI، IM، و نسخه های رمزگذاری شده SSL و معادل آنها.
Adapter
FortiSandbox از آداپتورها برای اتصال به محصولات third-party مانند سرور Carbon Black/Bit9، ICAP و کلاینت های mail gateway استفاده می کند. FortiSandbox آداپتورهای ICAP، BCC و MTA را ایجاد می کند که نمی توان آنها را حذف کرد وآنها به طور پیش فرض غیرفعال میباشند .
Network Share
FortiSandbox میتواند فایلهای ذخیرهشده در یک اشتراک شبکه را اسکن کند و بهصورت اختیاری هر فایل مخرب را قرنطینه کند . اسکنهای Network share را میتوان بر اساس تقاضا برنامهریزی یا اجرا کرد . همچنین اتصال با Network share را میتوان آزمایش کرد.
Scan Policy and Object
Scan Profile
Configure the types of files that are put into the job queue
Configure the VM image to scan pre-defined file types and user defined file types
Enable adaptive VM scan
Enable parallel VM scan
Configure VM scan ratio
System
برای مدیریت و پیکربندی گزینه های اساسی سیستم برای واحد FortiSandbox، صفحات سیستم را مشاهده کنید. این شامل پیکربندی سرپرست، تنظیمات سرور ایمیل و اطلاعات نگهداری می شود.
SNMP
با استفاده از SNMP، سیستم FortiSandbox شما برای رویدادهای سیستم از جمله استفاده از CPU، استفاده از حافظه، فضای گزارش دیسک، تغییرات رابط، و شناسایی بدافزار نظارت میکند. SNMP دارای دو بخش میباشد – SNMP agent یا دستگاهی که تله ها را ارسال می کند و SNMP manager که آن تله ها را نظارت می کند.پیاده سازی FortiSandbox SNMP read-only میباشد . برنامه های مدیریت SNMP سازگار با SNMP v1، v2c، v3، مانند برنامه های موجود در رایانه محلی شما، به اطلاعات سیستم FortiSandbox دسترسی read-only دارند و می توانند تله های سیستم FortiSandbox را دریافت کنند.
HA-Cluster
یک دستگاه FortiSandbox میتواند تعداد محدودی فایل را در یک بازه زمانی معین اسکن کند. برای مدیریت بارهای سنگینتر، میتوانید از چندین دستگاه FortiSandbox در یک کلاستر با در دسترس بودن بالا (HA) استفاده کنید.
There are three types of nodes in a cluster: primary, secondary, and worker
Primary node (Unit 1 in the diagram) cluster را مدیریت می کند، مشاغل را توزیع می کند و نتایج را جمع آوری می کند و با مشتریان تعامل دارد.Secondary node (Unit 2 in the diagram) برای پشتیبانی HA و اسکن فایل های معمولی میباشد. وضعیت گره اولیه را کنترل می کند و اگر primary از کار بیفتد،secondary نقش اولیه را بر عهده می گیرد.Worker nodes (Units 3–5 in the diagram) اسکن های عادی فایل را انجام می دهند و نتایج را به گره های primary and secondary گزارش می دهند. آنها همچنین می توانند اطلاعات دقیق شغل را ذخیره کنند.
Log & Report
از صفحه Log & Report میتوانید برای مشاهده و بارگیری همه گزارشهای جمعآوریشده توسط دستگاه، دسترسی به گزارشهای زمانبندیشده و تولید گزارشها استفاده کنید . همچنین میتوانید گزارشهای محلی را در FortiSandbox ببینید یا یک سرور گزارش از راه دور راهاندازی کنید، سروری که FortiAnalyzer را پیوند میدهد.
Report Center
در FortiSandbox، زمانی که کاربر گزارشی را تولید میکند، میتواند منتظر بماند تا گزارش آماده مشاهده شود، یا از آنجا دور شده و بعداً گزارش را در صفحه مرکز گزارش پیدا کند.
This page displays the following information:
Status The status of report generation process: Done, Stopped, or In Progress.
Start Time The time report generation starts.
Finish Time The time report is ready.
Report Type The type of report: PDF or CSV.
Report Size The size of the report, in kilobytes.
Progress Percentage that the report has finished.
Source The location that the report is scheduled to generate.
Detection Period The time range of the jobs that this report contains.
Actions You can view, delete, and download a report.
Pagination Adjust the number of reports that are listed per page and browse through the pages. When you click on any entry on this page,detailed information about thereport is displayed, including the job filtering criteria.