ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

SonicWALL

SonicWall Sandbox Capture ATP Servisine Genel Bakış

Bu makalemde sizlere Capture APT servisinden bahsedeceğim, bu servis ile ileri seviye ısrarcı dediğimiz atakların nasıl önüne geçeceğinizi göstermeye çalışacağım. Günümüzün popüler tehditlerin başında bildiğiniz üzere, ransomware ‘ler geliyor. Bu tehdit her geçen gün gelişen ve daha da yaygınlaşan zararlı yazılımlardır. Temel amacı dosyalarınızı şifreleyerek ve para karşılığında kullanıcının dosyalara erişimini sağlamaktır. Bu durumdan maruz kalmış kurumlar, Gerçekten dosyalarını kurtarmak istiyorsa parayı ödemekten başka çaresi bulunmuyor ve raporlardan da görünüyor ki ciddi şekilde bu tehdite maruz kalmış kurumlar bulunmaktadır. 

Tabi sadece bu tarz tehditler yok. Kuruma özgü yazılmış, bilinmeyen zero day ataklar’ da bulunur. Ransomware dışında, biz bu tarz tehditlere karşı da savunma yapabilir, çözüm üretebiliriz.  

Bu teknolojinin diğer bir adı ise Sandbox ‘dır. SANDBOX’ lar dosya davranışlarını analiz etmek ve kötü amaçlı yazılımları tespit etmek için kullanılan ortamlardır. Sonicwall bu analizi 3 farklı Database sorgu yaparak, rakiplere göre ciddi bir farklılık sağlıyor. Birazdan ara yüze bağlanıp daha net görüyor olacağız. Bu servis SonicWall’ a 2016 Ağustos başında geldi ve Cloud üzerinden bu analizleri yaparak karar vermeye çalışıyor. 

Capture servisi SonicWall cihazlarında SOHO harici tüm modellerde olan bir servistir. Özellikle 6.2 ve sonrası tüm versiyonlarda kullanılabilir, Lisanslama modelinde cgss ve agss dediğimiz 2 modelleme bulunuyor. Arasındaki tek fark AGSS dediğimiz lisanslama içerisinde Sandbox servisi bundle geliyor. CGSS almış ya da kullanan müşterilerimiz daha sonra Capture lisansını ayrıca alarak kullanım sağlayabilir. 

Evet bu bilgilerden sonra isterseniz ara yüze bağlanıp, sandbox teknolojisinin SonicWall’ daki yapılandırmasına bir göz atalım. 

SonicWall Capture ATP ağ geçidinde Zero-day tehditlerini belirlemek ve engellemek için bir bulut sandbox servisidir.

SonicWall ATP capture servisi bize aşağıdaki özellikleri sunar

Daha iyi tehdit algılama için çoklu tehdit motorları

Yaygın dosya türü analizleri ve işletim sistemi (OS) desteği

Tüm GAV protokolleri desteklenmektedir

HTTPS desteklenmektedir (DPI-SSL gerektirmektedir)

Ağ geçidindeki Verdict seçeneğine kadar engelleme

İyileştirme imzalarının hızlı dağıtımı

Kapsamlı raporlama ve uyarılar

NOT: ATP Capture servisini kullanmak için, en küçük versiyon olarak SonicOS Firmware versiyonu 6.2.6.1’i çalıştırıyor olmalısınız. Bu Firmware, yalnızca 6. Kuşak Cihazlarda mevcuttur.

Capture ATP Servisine Genel Bakış:

SonicWall ATP Capture çözümü SonicOS 6.2.6.x versiyonu ve üstünde mevcuttur.

ATP Capture servisi dosyayı buluta transfer ederek, dosyanın bir virüs olup olmadığını analiz eder ve ardından sonucu SonicWall güvenlik duvarına göndererek SonicWall güvenlik duvarına bir dosyanın bir virüs olup olmadığını belirlemeye yardım eder. Bu işlem, dosya SonicWall güvenlik duvarı tarafından işlenirken gerçek zamanlı olarak yapılır. Capture ATP, dosyayı transfer etmek için UFTP protokolünü kullanır. UFTP, User Datagram Protocol (UDP) File Tranfer Protocol (FTP) anlamına gelmektedir.

SonicWall güvenlik duvarının, Capture ATP servisi ile yaptığı dosya analizleri altı majör adımla gerçekleşir

The SonicWall güvenlik duvarı dosyayı SonicWall ATP Capture bulut servislerine gönderir.

SonicWall ATP Capture bulut servisleri dosyayı kendi depolarının içine kaydeder.

SonicWall ATP Capture bulut servisleri dosyayı okur ve analiz eder.

SonicWall ATP Capture bulut servisleri sonuçlarını SonicWall ATP Capture bulut servisleri veri tabanına kaydeder.

SonicWall ATP Capture bulut servisleri SonicWall ATP Capture bulut servisleri veri tabanına erişir.

SonicWall ATP Capture bulut servisleri sonuçları SonicWall güvenlik duvarına gönderir.

Güvenlik duvarı müşteri lokasyonunda konumlanmıştır. SonicWall ATP Capture bulut servisleri ve veri tabanı SonicWall tesisinde bulunmaktadırlar.

SonicWall ATP Capture bulut servislerinin FQDN'leri periyodik olarak SonicWall güvenlik duvarı tarafından çözümlenmektedir. Aynı zamanda bu FQDN herhangi bir zamanda değiştirildiğinde Lisans Yöneticisi tarafından çözümlenmektedir.

 

clip_image001 


ATP Capture servisi ile aşağıdaki dosya türlerini güvenli bir şekilde inceleyebilir, sınıflandırabilir ve yönetebilirsiniz.

Executables (PE, Mach-O, and DMG)

PDF

Office 97-2003 file types (.doc , .xls ,...)

Office (.docs , .xlsx ,...)

Archives ( .jar, .apk, .rar, .gz, and .zip)

clip_image003

 

clip_image004 NOT: Varsayılan olarak sadece Executables (Çalıştırılabilen dosyalar) için olan onay kutusu seçilidir, diğer dosya türleri manuel olarak seçilmelidir.
 

SonicWall güvenlik duvarı dosyaları şifrelenmiş UDP File Transfer Protocol (UFTP)’ü kullanarak gönderir.

UFTP Protocol Avantajları:

UDP trafiğinin veri şifrelemesi

Paket kaybı algılama, düzeltme ve yeniden iletimler

Veri kopyalarını ve kurtarılamayan hataları yönetebilir

 

SonicWall ATP Capture servisi tüm Gateway Anti-Virus (GAV) protokollerini destekler

HTTP

HTTPS (DPI-SSL gerektirir)

FTP

SMTP

POP

IMAP

CIFS/Netbios

TCP

 

SonicWall ATP Capture servisinin Dosya Engelleme Davranışı

İki seçeneğe izin verir:

Tüm dosyalara izin ver (Bu varsayılan seçeneklerdir)

Tüm dosyalara izin ver seçenekleri daha az güvenlidir. Dosyalara ağınızda izin verildikten sonra eğer kötü niyetli dosyalar olarak belirlenirlerse bir uyarı alacaksınız.

 

Bir karar dönene kadar tüm dosyaları engelle

Bu seçenek daha güvenlidir, ancak bazı meşru dosyaların indirilmesini yavaşlatabilir. Bu seçenek kullanıcıların indirmeyi yeniden denemelerini gerektirebilir

Bu seçenek sadece HTTP ve HTTPS dosya indirmeleri için geçerlidir

 

Ayrıca siz dosyaları doğrudan SonicWall Capture Bulut Servislerine de yükleyebilirsiniz

 

Dosyalar SonicWall Capture Bulut Servislerine SonicWall Kullanıcı Ara yüzü üzerinden yüklenebilir

 

Capture ATP | Status sayfasına gidin ve Upload a file to be scanned iletişim kutusu için Upload kutusuna tıklayın

Göz at ve bir dosya seç, göndermek için Upload butonuna tıklayın

clip_image006

 

ATP Capture Raporları ve Alarmları

Capture ATP | Status’e gidin


Son 30 günde taranan dosyaları izler

clip_image008

 

Taranmış dosyaların detaylı listesi

Aşağıdaki taranmış dosyaların bir örnek listesini göstermektedir.

Taranan dosya Kötü Amaçlı olarak rapor edilirse, KIRMIZI renkte vurgulanır

clip_image009 

Detaylar için taranmış bir dosyaya tıklayın:

Örneğin, Kötü amaçlı olarak raporlanmış bir dosyaya tıklanınca:

clip_image011

 

Bir sonraki örnek tehlikesiz olarak rapor edilmiş bir dosya içindir

clip_image013

 

 

Tarih : 05 Mart 2018 Pazartesi 06:20 Yayınlayan: Mustafa Akcin

Yorumlar

 

Recep YÜKSEL

Teşekkürler Mustafa hocam.

Mart 15, 2018 19:51
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Bu Kategori

Hızlı aktarma

Etiketler