CrowdStrike Falcon® Sandboxは、セキュリティチームにパワーを与える自動マルウェア分析 ソリューションであり、包括的な脅威インテリジェンスと世界で最も強力なサンドボックスソリューションの結果とを同時に提供します。この独自の組み合わせにより、アナリストが巧妙なマルウェア攻撃をより深く理解して防御を調整するために必要なコンテキストを提供します。Falcon Sandboxは、回避型の脅威や未知の脅威を詳細に分析し、その結果を脅威インテリジェンスでさらに充実させて、実用的な侵害の痕跡(IOC)を提供します。Falcon Sandboxは、さまざまなスキルレベルのサイバーセキュリティチームが直面する脅威に関する理解を深め、その知識を使用して将来の攻撃から防御できるようにします。
ハイブリッド分析は、ランタイムデータをメモリダンプ分析と組み合わせて、非常に巧みな回避型マルウェアであっても、考えられるすべての実行経路を抽出するファイル分析アプローチです。ハイブリッド分析と実行前/実行後の分析を広範に組み合わせることで、独自の機能が提供され、他の競合するサンドボックスソリューションよりも多くのIOCが抽出されます。ハイブリッド分析エンジンから抽出されたデータはすべて自動的に処理され、マルウェア分析レポートに統合されます。
Hybrid-Analysis.comは無料のオンラインマルウェア分析コミュニティで、ユーザーはファイルを提出すれば無料の詳細な分析を手に入れることができます。さらに、ユーザーは、Webサイトと十分に文書化されたREST APIを介して、何千もの既存のマルウェアレポートを検索したり、サンプルやIOCをダウンロードしたりすることも可能です。
Hybrid-AnalysisはFalcon Sandboxを利用した独立サービスで、Falcon Sandboxテクノロジーを評価するのに最適な方法です。Hybrid Analysisは、Falcon Sandbox機能のサブセットを提供します。以下の表でそれらの違いの一部を紹介します:
機能 | Hybrid-Analysis.com | Falcon Sandbox |
デトネーション環境 | ||
Windows 7 (32/64) |
✓ |
✓ |
Windows 10 | ✓ | |
Ubuntu 16 (64) | ✓ | ✓ |
ファイル提出 | ||
1ヶ月あたりの最大ファイル送信数 | ゲストの場合最大30件まで | 最大25,000件まで |
ファイル/アーカイブの分析 | ✓ | ✓ |
URLの分析 | ✓ | ✓ |
繰り返しCAPTCHAを実行せずに送信可 | ✓ | |
抽出されたファイルの再分析 | ✓ | |
ダウンロード | ||
バイナリサンプル/PCAPS | ✓ | ✓ |
MAEC, STIX, MISP, OpenIOC | ✓ | ✓ |
PDF, JSON, HTML | ✓ | |
レポート機能 | ||
リスクビューの概要と判定 | ✓ | ✓ |
すべての悪意ある/疑わしい痕跡(IOC)を表示する | ✓ | |
すべてのネットワークIDSルールトリガーを表示する | ✓ | |
レポートの完全なプライバシー | ✓ | |
統合 | ||
CrowdStrinke Intelligenceとの統合(属性、IOC、IDS、YARA) | ✓ | |
Falcon MalQueryとの統合 | ✓ | ✓ |
ファイル送信と検索のためのREST API | ✓ | ✓ |
SOARツールのサポート(Phantom、Demistoなど) | ✓ |
はい、Falcon Sandboxに提出されたファイルは非公開です。提出されたすべてのファイルと関連するレポートは、機密性の高いFalconプラットフォームに保存されます。
最新のマルウェアの作成者はサンドボックステクノロジーを認識しており、ファイルを監視している外部プロセスを検知すると、悪意のある活動を停止または隠すようにマルウェアを設計しています。従来の第1世代のサンドボックスモニターは、アプリケーション層 (ユーザーモード) で実行され、簡単に検知されるシステムライブラリ呼び出しをインターセプトします。Falcon Sandboxは、オペレーティングシステムレベル(カーネルモード)で監視を行うため、対象プロセスに手を加えることがなく、検知が非常に困難になります。Falcon Sandboxのカーネルモードモニターは、「in the wild(実際に感染報告がある)」かつ最新のマルウェアサンプルに対して堅牢で非常に効果的であることが証明されています。クラウドストライクの世界クラスのアンチサンドボックスおよびアンチVM検知テクノロジー(PafishやVMDEなどのベンチマークツールで示されている)は、ほとんどの回避型マルウェアの分析を可能にします。クラウドストライクは、新しい回避手法を先取りするためにFalcon Sandboxを常にアップデートしており、社内のベンチマークツールと、毎日フィールドテストに使用される Hybrid-Analysis.comを提供する一般参加のコミュニティでそのパフォーマンスを検証しています。
Falcon Sandboxは自動的に拡張します。適切なライセンスを使用すれば、1ヶ月あたり最大25,000ファイルまで容易に処理できます。このレベルのスケーラビリティが、インフラストラクチャコストなしで提供されます。
Falcon Sandboxは以下のファイルをサポートします:PEファイル(.exe、.scr、.pif、.dll、.com、.cpl、など)、Office(.doc、docx、.ppt、.pps、.pptx、.ppsx、.xls、.xlsx、.rtf、.pub)、PDF、APK、実行可能JAR, Windowsスクリプトコンポーネント (.sct)、Windowsショートカット (.lnk)、Windows Help (.chm)、HTMLアプリケーション (.hta)、Windowsスクリプトファイル (*.wsf)、Javascript (.js)、Visual Basic (*.vbs、*.vbe)、Shockwave Flash (.swf)、Perl (.pl)、Powershell (.ps1、.psd1、.psm1)、Scalable Vector Graphics (.svg)、Pythonスクリプト (.py)、Perlスクリプト (.pl)、Linux ELF実行可能ファイル、MIME RFC 822 (*.eml)、Outlook *.msgファイル。
ace、arj、7z、bzip2、gzip2、iso、rar、rev、tar、wim、xz、zipについては、パスワードの有無にかかわらずアーカイブをアップロードできます。パスワードを使用する場合は、一般的によく使われる「infected」をお使いください。
Falcon Sandboxを使用すると、マルウェアのデトネート方法を決定するための設定を構成する機能が提供されるため、ユーザーがコントロールできるようになります。これらのオプションには、日付/時刻、環境変数の設定、コマンドラインオプションの設定、PDF/Officeプロンプトのパスワード指定などが含まれます。さらに、デトネーション中のユーザーの操作(マウスクリックや移動、キーボード入力など)を模倣する多くの「アクションスクリプト」から選択して、サンドボックステクノロジーから隠れようとするマルウェアを暴くことができます。
振る舞いインジケーターは、攻撃の痕跡 (IOA) と同様に、高リスクの活動、または潜在的に悪意があると考えられる一連の活動を定義します。例としては、自動実行されるようなレジストリエントリの追加、ファイアウォール設定の変更、既知のランサムウェアファイルのディスクへの書き込み、異常なポートへのデータの送信などがあります。振る舞いインジケータは、ファイルの潜在的なリスクをより完全に把握し、これまで知られていなかった脅威を特定するために使用されます。Falcon Sandboxには700を超える一般的な振る舞いインジケータが含まれており、これらは絶えず更新および拡張されています。
Falcon Sandbox は、Windows Desktop XP、Vista、7、8、10 (32 および 64 ビット)、および Ubuntu/RHEL Linux (32 および 64 ビット) をサポートします。また、Android APKファイルの静的ファイル分析もサポートしています。
Falcon Sandboxレポートには、インシデント対応の概要、関連するサンドボックス分析レポートへのリンク、多くのIOC、アクター属性、再帰ファイル分析、ファイルの詳細、デトネーションのスクリーンショット、ランタイムプロセスツリー、ネットワークトラフィック分析、抽出された文字列、IP/URLレピュテーションルックアップが含まれます。さらに、レポートはAlienVault OTX、VirusTotal、およびCrowdStrike Intelligenceからの情報で強化され、脅威アクターの属性、関連サンプルなどを提供します。さらに、クラウドストライクの Falcon Sandboxレポートで例を確認することもできます。
はい、Falcon Sandboxには、検索用語を組み合わせる機能など、さまざまな検索オプションがあります。ウイルスファミリー名、脅威アクター、特定のファイルタイプ、ハッシュ、#タグ、および特定の振る舞いインジケータがトリガーされたかどうかを検索できます。さらに、特定のIPアドレス、国、ドメイン、URLなどに接触したレポートを見つけることもできます。
再帰分析は、分析されたファイルがより大きなキャンペーン、マルウェアファミリ、または脅威アクターに関連しているかどうかを判断する独自の機能です。Falcon Sandboxは、業界最大のマルウェア検索エンジンで自動的に関連するサンプルを検索し、数秒以内にすべてのファイルを含むように分析を拡大します。これによりアナリストは攻撃をより深く理解し、組織をより適切に保護するためにさらに多くのIOCを取得することができるため、重要な機能となります。
Falcon Sandboxは、Falcon Sandboxによって毎月分析されるファイルの数量に基づいて、サブスクリプションベースのライセンスが付与されています。
詳細情報は当社までお問い合わせください。