22 ноября 2023
Знакомство с PT Sandbox
Статья 3. Веб-интерфейс и работа с продуктом
Рады приветствовать читателей в третьей статье цикла «Знакомство с PT Sandbox». В прошлой статье мы с вами произвели установку продукта в односерверной конфигурации. В этой статье будут рассмотрены основные элементы веб-интерфейса продукта, а также его возможности.
Вход в систему
При переходе на IP-адрес машины, на которую установлен PT Sandbox, пользователь попадает на страницу авторизации:
Вход в систему
При переходе на IP-адрес машины, на которую установлен PT Sandbox, пользователь попадает на страницу авторизации:
Авторизация осуществляется с помощью сервиса PT MC(IAM) который обеспечивает единую точку входа в различные продукты компании Positive Technologies. Данный сервис позволяет создавать, изменять и удалять учетные записи пользователей, настраивать различные права доступа для каждой из них.
Кроме того, PT MC поддерживает интеграцию с Active Directory по протоколам LDAP и LDAPs. Она позволяет пользователям выполнять аутентификацию через AD, а также синхронизировать права доступа с группами Microsoft Active Directory. Помимо всего перечисленного, сервис PT MC ведет журнал действий пользователей.
Подробнее про работу в PT MC можно узнать в статье «Обзор возможностей» из цикла «MaxPatrol VM Getting Started».
После введения логина и пароля пользователь оказывается непосредственно в веб-интерфейсе PT Sandbox.
Кроме того, PT MC поддерживает интеграцию с Active Directory по протоколам LDAP и LDAPs. Она позволяет пользователям выполнять аутентификацию через AD, а также синхронизировать права доступа с группами Microsoft Active Directory. Помимо всего перечисленного, сервис PT MC ведет журнал действий пользователей.
Подробнее про работу в PT MC можно узнать в статье «Обзор возможностей» из цикла «MaxPatrol VM Getting Started».
После введения логина и пароля пользователь оказывается непосредственно в веб-интерфейсе PT Sandbox.
«Главная страница — Сводка» содержит различные дашборды, которые отображают статистику по проверенным файлам из различных источников, количеству заданий с опасными и потенциально опасными файлами. А также по количеству файлов, которые были проверены с использованием поведенческого анализа.
Взаимодействие с дашбордами весьма ограничено: вы можете только нажать на источник на дашборде «Задания по источникам» и провалиться во вкладку «Задания», где будет произведена фильтрация и отображены задания, полученные из выбранного источника. Или нажать кнопку «Перейти к заданиям» на дашборде «Рейтинг файлов по опасности». Это отобразит все файлы, которые были помечены как опасные.
В самом верху страницы располагается полоска с доступными вкладками: «Сводка», «Задания», «Объекты», «Средства проверки», «Источники» и «Система». Далее мы подробно поговорим про каждую из них.
1. Вкладка «Задания» является одной из основных, с которой будут работать специалисты безопасности.
В ней можно посмотреть пришедшие на проверку файлы в рамках конкретного задания — будь то электронное письмо, объект из общей папки или файл, извлеченный из сессии PT NAD.
Взаимодействие с дашбордами весьма ограничено: вы можете только нажать на источник на дашборде «Задания по источникам» и провалиться во вкладку «Задания», где будет произведена фильтрация и отображены задания, полученные из выбранного источника. Или нажать кнопку «Перейти к заданиям» на дашборде «Рейтинг файлов по опасности». Это отобразит все файлы, которые были помечены как опасные.
В самом верху страницы располагается полоска с доступными вкладками: «Сводка», «Задания», «Объекты», «Средства проверки», «Источники» и «Система». Далее мы подробно поговорим про каждую из них.
1. Вкладка «Задания» является одной из основных, с которой будут работать специалисты безопасности.
В ней можно посмотреть пришедшие на проверку файлы в рамках конкретного задания — будь то электронное письмо, объект из общей папки или файл, извлеченный из сессии PT NAD.
В карточке задания отображается основная информация о нем, результаты проверки, вынесенный вердикт и действие, которое было с ним совершено. Для файлов, связанных с заданием, также отображены артефакты, полученные в процессе проверки, и информация о результатах проверки поведенческим анализом, если он проводился.
Так, например, для задания, пришедшего от источника Электронная почта, отображаются отправитель, получатели письма и тело письма. По каждому заданию можно выгрузить отчет, в котором будет содержаться основная информация по нему, а также по содержащимся в нем файлам.
Так, например, для задания, пришедшего от источника Электронная почта, отображаются отправитель, получатели письма и тело письма. По каждому заданию можно выгрузить отчет, в котором будет содержаться основная информация по нему, а также по содержащимся в нем файлам.
Задания можно отфильтровать по различным параметрам: некоторые из них, такие как дата создания, уровень опасности, результат проверки и пр. есть по умолчанию в таблице. На них можно нажать и задать определенное значение. Однако если таких параметров недостаточно, есть возможность написать QL-запрос для осуществления более тонкой фильтрации
Во вкладке Объекты содержится информация обо всех артефактах, связанных с поступившими заданиями. Таковыми артефактами являются: файлы, поступившие на проверку в PT Sandbox, дампы памяти и новые файлы, образовавшиеся при проверке файла, тело письма или HTTP-запроса и т.д.
При нажатии на объект пользователь перенаправляется системой на задание, в рамках которого данный объект был получен. А в самом задании открывается карточка с результатами проверки по выбранному объекту.
Как и в случае с «Заданиями», во вкладке «Объекты» есть возможность фильтрации по различным параметрам объектов: название, тип объекта, источник, а также отправитель и получатель.
Если получается их определить: например, для электронных писем отображается адрес отправителя и получателя письма, а для запросов, перенаправляемых по ICAP, — клиент, отправлявший данный запрос. Как и в случае с «Заданиями», поддерживается фильтрация с помощью QL-запросов.
Как и в случае с «Заданиями», во вкладке «Объекты» есть возможность фильтрации по различным параметрам объектов: название, тип объекта, источник, а также отправитель и получатель.
Если получается их определить: например, для электронных писем отображается адрес отправителя и получателя письма, а для запросов, перенаправляемых по ICAP, — клиент, отправлявший данный запрос. Как и в случае с «Заданиями», поддерживается фильтрация с помощью QL-запросов.
С помощью описанного выше инструмента удобно искать какие-либо файлы (или дампы памяти), которые фигурировали в различных заданиях, и на основании этой информации провести дополнительный анализ.
3. Вкладка «Средства проверки». В ней отображены все средства, которые могут быть использованы для статического анализа файлов: движки Positive Techologies, антивирусные движки, образы ВМ, в которых будут проверяться файлы. Здесь же можно найти подраздел с черным и белым списками.
Первый подраздел – «Экспертиза PT» - содержит в себе все проприетарные движки компании Positive Technologies, которые используются для анализа файлов, артефактов, ссылок и других объектов.
3. Вкладка «Средства проверки». В ней отображены все средства, которые могут быть использованы для статического анализа файлов: движки Positive Techologies, антивирусные движки, образы ВМ, в которых будут проверяться файлы. Здесь же можно найти подраздел с черным и белым списками.
Первый подраздел – «Экспертиза PT» - содержит в себе все проприетарные движки компании Positive Technologies, которые используются для анализа файлов, артефактов, ссылок и других объектов.
Всего 4 таких средства, каждое из которых отвечает за выполнение определенных задач:
Следующий подраздел «Антивирусы» содержит в себе информацию по установленным сторонним антивирусным движкам, с помощью которых осуществляется статический анализ. «Из коробки» в PT Sandbox доступны два сторонних средства: антивирус Clam AV и антивирус NANO (начиная с версии 5.3). При наличии необходимых лицензий можно дополнить продукт такими средствами, как Avast Core Security, Dr.Web Server Security Suite, Kaspersky Web Traffic Security и Symantec Protection Engine for Network Attached Storage.
- PT ESC – движок, содержащий в себе правила экспертного центра PT ESC, на основании которых производится статический анализ файлов и артефактов, возникающих в процессе поведенческого анализа;
- PT IoC – это средство предназначено для проверки извлеченных из объектов ссылок по индикаторам компрометации. Индикаторами могут быть скомпрометированные ссылки, IP-адреса или имена доменов. Проверка контента для скомпрометированных ссылок не выполняется;
- PT Crawler – средство для динамической проверки ссылок, реализует функционал веб-краулера, предназначено для перебора страниц по ссылке;
- PT ML – движок анализа поведения файлов, основанный на технологии машинного обучения
Следующий подраздел «Антивирусы» содержит в себе информацию по установленным сторонним антивирусным движкам, с помощью которых осуществляется статический анализ. «Из коробки» в PT Sandbox доступны два сторонних средства: антивирус Clam AV и антивирус NANO (начиная с версии 5.3). При наличии необходимых лицензий можно дополнить продукт такими средствами, как Avast Core Security, Dr.Web Server Security Suite, Kaspersky Web Traffic Security и Symantec Protection Engine for Network Attached Storage.
В третьем подразделе, который называется «Образы ВМ» содержится информация о доступных версиях операционных систем, в которых может производиться поведенческий анализ файлов.
Для каждого образа можно проверить его версию, а также статус по узлам, на которых данный образ установлен. Как уже ранее было сказано, на момент написания статей в продукте поддерживаются следующие версии ОС:
Для каждого образа можно проверить его версию, а также статус по узлам, на которых данный образ установлен. Как уже ранее было сказано, на момент написания статей в продукте поддерживаются следующие версии ОС:
- Windows 7
- Windows 8.1
- Windows 10
- серверные версии Windows, начиная с версии 2016
- а также Astra Linux и РЕД ОС
Помимо этого, в этом разделе веб-интерфейса продукта можно посмотреть на очередь файлов, которые будут проверяться поведенческим анализом. С помощью данного инструмента можно отслеживать нагрузку на продукт, отфильтровать задания в очереди по типам проверяемых файлов, а также очистить очередь.
Оставшиеся два подраздела, «Черный список» и «Белый список», реализуют функционал исключений.
Нетрудно догадаться, что файлы, помещаемые в белый список, будут пропускаться без проверки. Это файлы, которые заведомо безопасные и потому не нуждаются в проверке. Такое действие может быть полезно в случае, если заведомо безвредный файл вызвал ложноположительное срабатывание или какое-либо его поведение вызывает подозрения.
В черный список добавляются файлы, которые, напротив, заведомо опасны и должны быть заблокированы вне зависимости от результатов проверки.
Нетрудно догадаться, что файлы, помещаемые в белый список, будут пропускаться без проверки. Это файлы, которые заведомо безопасные и потому не нуждаются в проверке. Такое действие может быть полезно в случае, если заведомо безвредный файл вызвал ложноположительное срабатывание или какое-либо его поведение вызывает подозрения.
В черный список добавляются файлы, которые, напротив, заведомо опасны и должны быть заблокированы вне зависимости от результатов проверки.
В оба списка объекты добавляются по хэш суммам: пользователю не обязательно искать конкретный файл в списке, достаточно знать его хэш. Кроме того, можно загрузить файл в формате CSV со списком хэшей, и все они добавятся в список исключений.
Также можно добавить файл в черный или белый список из карточки объекта, нажав на строку «Найти файл в списках» и указав после этого, в какой из них необходимо добавить объект.
Следующая вкладка называется «Источники проверки». В ней производится добавление, настройка и удаление источников, из которых будут поступать на проверку файлы
Для каждого типа источника необходимо задать определенные параметры. Так, например, для проверки файлов в общей папке необходимо указать протокол подключения, адрес сервера и путь до этой папки, а также учетные данные для подключения.
В этом же подразделе можно для каждого источника изменить параметры проверки файлов:
- использование блокирующего/пассивного режима (для источников, в которых это применимо);
- включение и настройка поведенческого анализа (используемые образы, проверяемые типы файлов, время проверки);
- глубину распаковки архивов и пр.
О типах источников и параметрах проверки мы более подробно поговорим в дальнейших статьях цикла.
Ну и, наконец, последняя вкладка «Система» содержит в себе системные настройки и установки. Именно в этом месте задаются основные параметры, позволяющие настроить PT Sandbox. Сама вкладка содержит в себе несколько подразделов, каждый из которых мы обсудим далее.
Ну и, наконец, последняя вкладка «Система» содержит в себе системные настройки и установки. Именно в этом месте задаются основные параметры, позволяющие настроить PT Sandbox. Сама вкладка содержит в себе несколько подразделов, каждый из которых мы обсудим далее.
- Первый подраздел: Основные параметры. Здесь содержатся различные настройки самой системы, такие как выделение дискового пространства под файлы заданий и карантин, срок хранения файлов в карантине, включение/выключение записи событий в системный журнал, отправка журналов в системы мониторинга событий, задание списка стандартных паролей и пр;
Подраздел Токены доступа (появился в версии продукта 5.5) позволяет управлять API-токенами из веб интерфейса. Здесь можно создавать и удалять токены для передачи в PT Sandbox файлов по API. Каждый токен ассоциирован с источником для проверки
- Подраздел Обновления позволяет узнать текущую версию продукта, а также вручную проверить и установить обновления при их наличии.
Кроме того, есть возможность задать параметры автоматической загрузки обновлений: задать расписание проверки и установки, а также ограничить установку версий, которые вышли недавно: можно задать число дней. И если новая версия вышла не раньше, чем это число, она не будет установлена.
- В последнем подразделе, который называется Лицензия, содержится информация о лицензии, установленной в продукте. Тут приведен перечень источников файлов, включенных в лицензию, номер лицензии, срок её действия, а также доступные образы ВМ. Здесь же можно проверить лицензию, а также при необходимости заменить её.
Заключение
На этом третью статью цикла можно подвести к концу: мы рассмотрели практически весь основной интерфейс продукта PT Sandbox и узнали про его основные возможности.
До встречи в следующей статье: в ней мы более подробно остановимся на различных источниках проверки файлов, а также особенностях их включения в продукт.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution
На этом третью статью цикла можно подвести к концу: мы рассмотрели практически весь основной интерфейс продукта PT Sandbox и узнали про его основные возможности.
До встречи в следующей статье: в ней мы более подробно остановимся на различных источниках проверки файлов, а также особенностях их включения в продукт.
Автор статьи: Никита Басынин, инженер по направлению Anti-APT в TS Solution