Juniper Sky ATP - облачный сервис обеспечивающий защиту от malware и предотвращения zero-day атак. Интегрируется с Juniper SRX (Firewall от Juniper). Соответственно, для работы данного сервиса у вас должен быть комплекс, который включает в себя следующие компоненты SRX (vSRX) и подписка (которая бывает даже free) на сам Sky ATP сервис.
Стоит отметить, что весь служебный трафик между SRX и серверами Sky ATP передается исключительно в шифрованном виде между вашим SRX и облаком Juniper.
На каких SRX поддерживается:
SRX340, SRX345, SRX550M, SRX1500, SRX4000 line, SRX5000 line, vSRX.
Механизмы которые используются в работе комплекса SRX и Sky ATP Juniper разделят на 2 подкатегории. От этого зависит и сама настройка комплекса, которая может быть выполнена как в ручном режиме на SRX, так и с помощью специализированной системы управления компонентами Juniper Space Security Director.
Advanced Anti-Malware механизмы:
- cache lookups (~1 second);
- антивирусное сканирование несколькими AV движками (~5 second);
- статический анализ malware (~30 second);
- динамический анализ malware (~7 minutes sandbox Windows and Android);
- использования методов провокации malware;
Почитать о данном алгоритме можно здесь: How is Malware Analyzed and Detected?
Security Intelligence механизмы:
- репутационные базы Botnets/C&C;
- базы Geo-IP;
- передача данных по API;
- пользовательские списки.
В общем виде архитектуру решения можно представить следующий образом:
Какие файлы поддерживает Sky ATP:
Active media: .swf, .xap, .xbap
Archive: .zip, .rar, .tar, .gzip
Code: .c, .cc, .cpp, .cxx, .h, .htt, .java
Config: .inf, .ini, .lnk, .reg, .plist
Document: .chm, .doc, .docx, .dotx, .hta, .html, .pot, .ppa, .pps, .ppt, .pptsm, .pptx, .ps, .rtf, .rtf, .txt, .xlsx, .xml, .xsl, .xslt
Executable: .bin, .com, .dat, .exe, .msi, .msm, .mst
Java: .class, .ear, .jar, .war
Library: .a, .dll, .kext, .ko, .o, .so, ocx
Mobile: .apk, .ipa
OS package: .deb, .dmg
Script: .bat, .js, .pl, .ps1, .py, .sct .sh, .tcl, .vbs, plsm, pyc, pyo
Portable document: .email, .mbox, .pdf, .pdfa
Emerging threat (A special category that includes known threat source file types)
Стоит отметить, что максимальный файл, который может быть отправлен в облако для проверки - 32 мб.
Ссылки на полезную и нужную информацию:
Общий dashboard:
Hosts, который зафиксированы Sky системой:
Все файлы, которые были проанализированы Sky системой:
Расширенная информация по конкретному файлу:
Детализированный вывод из песочницы по зловреду:
Зафиксированные C&C сервера Sky системой:
Детализированный вывод по конкретному C&C серверу:
Стоит отметить, что весь служебный трафик между SRX и серверами Sky ATP передается исключительно в шифрованном виде между вашим SRX и облаком Juniper.
На каких SRX поддерживается:
SRX340, SRX345, SRX550M, SRX1500, SRX4000 line, SRX5000 line, vSRX.
Механизмы которые используются в работе комплекса SRX и Sky ATP Juniper разделят на 2 подкатегории. От этого зависит и сама настройка комплекса, которая может быть выполнена как в ручном режиме на SRX, так и с помощью специализированной системы управления компонентами Juniper Space Security Director.
Advanced Anti-Malware механизмы:
- cache lookups (~1 second);
- антивирусное сканирование несколькими AV движками (~5 second);
- статический анализ malware (~30 second);
- динамический анализ malware (~7 minutes sandbox Windows and Android);
- использования методов провокации malware;
Почитать о данном алгоритме можно здесь: How is Malware Analyzed and Detected?
Security Intelligence механизмы:
- репутационные базы Botnets/C&C;
- базы Geo-IP;
- передача данных по API;
- пользовательские списки.
В общем виде архитектуру решения можно представить следующий образом:
Какие файлы поддерживает Sky ATP:
Active media: .swf, .xap, .xbap
Archive: .zip, .rar, .tar, .gzip
Code: .c, .cc, .cpp, .cxx, .h, .htt, .java
Config: .inf, .ini, .lnk, .reg, .plist
Document: .chm, .doc, .docx, .dotx, .hta, .html, .pot, .ppa, .pps, .ppt, .pptsm, .pptx, .ps, .rtf, .rtf, .txt, .xlsx, .xml, .xsl, .xslt
Executable: .bin, .com, .dat, .exe, .msi, .msm, .mst
Java: .class, .ear, .jar, .war
Library: .a, .dll, .kext, .ko, .o, .so, ocx
Mobile: .apk, .ipa
OS package: .deb, .dmg
Script: .bat, .js, .pl, .ps1, .py, .sct .sh, .tcl, .vbs, plsm, pyc, pyo
Portable document: .email, .mbox, .pdf, .pdfa
Emerging threat (A special category that includes known threat source file types)
Стоит отметить, что максимальный файл, который может быть отправлен в облако для проверки - 32 мб.
В результате анализа и определения проблемы (malware либо попытка установить связь/скачать данные из C&C), Sky ATP в зависимости от настроенного порога threat level блокирует устройство запрещая ему доступ в Интернет.
В данном механизме есть лимит файлов в день, которые можно отправлять на анализ - File Limitations.
Детализированный вывод из песочницы по зловреду:
Комментариев нет:
Отправить комментарий