Anasayfa » SonicWall Capture Advanced Threat Protection Service Sandbox ATP

Makaleyi Paylaş

SonicWALL

SonicWall Capture Advanced Threat Protection Service Sandbox ATP

Merhabalar bu makalemde sizlere Sonicwall ATP servisinden bahsedeceğim.Günümüzde kurumların sıkça karşılaştıkları ve zaman zaman ciddi sorunlara neden olan sıfırıncı gün saldırıları (zero day attacks), fidye yazılımlar gibi saldırılara karşı imza tabanlı firewall’lar ile anti-virüs programları yetersiz kalmakta, bu tip saldırılar karşısında firmalar yüzbinlerce dolar zarara uğramaktadır. SonicWall, bu tip saldırılara karşı Capture Advanced Thread Protection (ATP) çözümünü geliştirmiştir. Bu çözüm ile fidye yazılımları ve sıfırıncı gün saldırılarına karşı önlemler alınabilmektedir. SonicWall’ın geliştirdiği, bulut tabanlı, Capture ATP hizmeti ile müşterilerinin artan sıfırıncı gün tehditlerine karşı koruma sağlamaktadır. Bu hizmet ile tehtidler ağ geçidinde tespit edilmekte ve engellenmektedir. Şüpheli kodun analizi, tam sistem simülasyonu ve sanallaştırma teknikleri de dahil olmak üzere çok katmanlı bir yapıda gerçekleştirilmektedir. Böylece, çok gelişmiş saldırıların da tespiti yapılabilmektedir.

SonicWall Capture APT servisi, dosya boyutundan bağımsız olarak ağ geçidindeki trafiği tarayarak analiz etmekte; şüpheli olarak tespit ettiği kodları kum havuzuna göndermektedir. Diğer ağ güvenlik çözümlerinden farklı olarak SonicWall Capture APT her türlü dosya türünü analiz edebilmektedir. Grid teknolojisi sayesinde analiz edilen kodları zararlı ya da zararsız olarak işaretleyip, imza tabanı oluşturmakta ve bunu hızlıca diğer SonicWall ürünlerine bildirmektedir.

SonicWall Capture APT’nin özellikleri

Çoklu Motor (Multi Engine) İleri Tehdit Analizi

Sponsor

SonicWall Capture APT servisinin sahip olduğu çoklu motor (multi engine) teknolojisi ile imza tabanına bağlı kalmadan zararlı kodların davranış analizi dosya boyutu ve türüne bağımsız olarak gerçekleştirilmektedir.

Dosya Boyutundan Bağımsız Farklı Tür Dosya Analizi

Servis dosya boyutundan bağımsız olarak çok farklı türdeki dosyaların analizine imkan sağlamaktadır. Örneğin; çalıştırılabilir dosyalar (PE), DLL, PDF’ler, MS Office belgeleri, arşivler, JAR ve APK ile Windows ve Android de dahil olmak üzere pek çok işletim sistemine ait dosyalar desteklenmektedir. Ayrıca, sistem yöneticisi ihtiyaç duyması halinde herhangi bir dosyayı analiz için gönderebilmektedir.

Analiz Sonucuna Kadar Engelleme

Potansiyel tehdit olarak görülen kötü amaçlı dosyaların ağa girmesini önlemek için analiz edilmesi amacıyla bulut servisine gönderilen dosyalar ile ilgili analiz sonucuna kadar ağ geçidinde tutulur. Böylece zararlı olabilecek dosyaların ağa girmesi engellenir.

Hızlı Tespit ve İmzalama

İlk defa karşılaşılan zararlı bir dosya tespit edildikten ve işaretlendikten sonra hemen firewall’a olası saldırılara karşı bildirilmektedir. Ayrıca, zararlı dosya SonicWall Tehdit İstihbarat Takımı’na bildirilmektedir.  

 

clip_image002

SonicWall Capture Advanced Threat Protection Service config  configuration

 

ATP servis sadece 6.2.6.x üstü sürümler için lisanslanabilir SOHO ve 6.2.6.x den düşük sürümlerde bu servis kulanılamamaktadır.

 

Capture ATP ile aşağıdaki dosya türlerini güvenli bir şekilde inceleyebilir, sınıflandırabilir ve yönetebilir.

Yürütülebilir formatlar: PE, Mach-O ve DMG

PDF

Office 97-2003 dosya türleri (.doc, .xls, …)

Ofis (.docs, .xlsx, …)

Arşivler (.jar, .apk, .rar, .gz ve .zip)

.

clip_image003

Not: Varsayılan olarak Yalnızca Yürütülebilir Dosyalar için onay kutusu seçilidir, diğer dosya türleri manuel olarak seçilmelidir.

SonicWall Capture ATP tüm Gateway Anti-Virus (GAV) protokollerini destekler

HTTP

HTTPS (DPI-SSL gerektirir)

FTP

SMTP

POP

IMAP

CIFS / Netbios

TCP

SonicWall ATP dosyasını Yakalama Davranışı

İzin verilenler:

Tüm dosyalara izin ver seçeneği: Varsayılan durumdur. Tüm dosyalara önce izin ver seçeneği her zaman daha az güvenlidir. Dosyalar bilgisayara indirildikten sonra kötü niyetli oldukları tespit edilirse uyarı verilir.

Karar verilene kadar tüm dosyaları engelleme seçeneği:  Bu seçenek daha güvenlidir. Ancak bazı zararsız dosyaların indirilmesinde yavaşlama olabilir. Bu seçenek ile kullanıcıların dosya indirmeyi yeniden denemelerini gerektirebilir. Bu seçenek yalnızca HTTP ve HTTPS dosya indirmeleri için geçerlidir.

Dosyaları doğrudan SonicWall Capture Cloud Services’a yükleyebilirsiniz.

Dosyalar SonicWall Capture Cloud Services’a SonicWall Kullanıcı Arayüzü üzerinden yüklenebilir. Bunu aşağıdaki adımlar ile gerçekleştirebilirsiniz:

Capture ATP’ye gidin,

Capture ATP sekmesindeki “Status page” ikonuna tıklayın,

Bir dosyaya göz at seççeneğini seçin,

Göndermek için “Upload” ikonuna tıklayın.

clip_image005

 

ATP raporları ve uyarılar:

Capture ATP’ye seçeneğini seçin

“Status”’ten son 30 günde taranan dosyalar görülebilir.

 

clip_image007

 

Taranan dosyaların ayrıntılı listesi aşağıdaki gibi listelenmektedir. Eğer taranan dosya kötü amaçlı olarak raporlanmışsa KIRMIZI renkte vurgulanır.

clip_image009

  

Ayrıntılar için taranan bir dosyaya tıklanarak daha fazla bilgi alınabilir. Aşağıda “kötü amaçlı” olarak işaretlenmiş ve sorunsuz olarak işaretlenmiş dosyalara ait bilgi yer almaktadır.

clip_image011

 

 

Bir sonraki örnek, iyi huylu olduğu bildirilen bir dosya için

clip_image013

 

Daha kapsamlı bilgi için Yorum yazabilirsiniz yardımcı olmaya çalışırım.

Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere.

 

Makaleyi Paylaş

Cevap bırakın