Symantec Endpoint Detection and Response peut envoyer des fichiers vers un service de sandboxing afin d'exploser un malware potentiel dans un environnement virtuel pour observer son comportement. L'option de sandboxing par défaut est Cynic, le système de détonation de malware dans le cloud de Symantec. Mais vous pouvez également configurer Symantec EDR pour envoyer des fichiers suspects ou inconnus à une appliance de sandbox sur site. Symantec EDR prend en charge Symantec Malware Analysis 4.2 ou version ultérieure et Symantec Content Analysis 2.2 ou version ultérieure pour le sandboxing sur site.
Vous pouvez configurer le sandboxing appliance par appliance Symantec EDR. Chaque appliance Symantec EDR peut utiliser des paramètres de sandboxing différents. Ainsi, certaines appliances Symantec EDR peuvent utiliser le sandboxing dans le cloud tandis que d'autres peuvent utiliser une appliance sur site.
Cette option est également utile si vous disposez de plusieurs appliances Symantec EDR à différents emplacements. Chacune peut utiliser une technologie d'analyse antimalware différente pour les appliances sur site afin de conserver les fichiers en local. Par exemple, supposez que vous disposez d'une appliance Symantec EDR à Los Angeles et d'une autre à Londres. Vous pouvez configurer chacune d'entre elles pour envoyer des fichiers uniquement à votre solution de sandboxing locale à Los Angeles et Londres, respectivement.
Configuration du sandboxing cloud | Configuration du sandboxing de l'appliance sur site
Configuration du sandboxing cloud
Le service cloud Cynic est l'option par défaut. Vous devez uniquement configurer ce paramètre si vous souhaitez rétablir le paramètre de service cloud Cynic à partir d'une appliance sur site.
Pour configurer Symantec EDR pour utiliser le sandboxing cloud
Effectuez l'une des opérations suivantes :
Dans la EDR cloud console, cliquez sur (Paramètres). Sous Environment (Environnement), sélectionnez une appliance, puis cliquez sur .
Dans la EDR appliance console, cliquez sur (Paramètres > Appliances).
Effectuez l'une des opérations suivantes :
Cliquez sur (Modifier l'appliance par défaut) pour modifier les paramètres par défaut pour l'appliance Symantec EDR.
Dans la liste , cliquez sur l'appliance que vous voulez modifier.
Faites défiler vers le bas jusqu'à Sandboxing et cliquez sur (Modifier les paramètres de sandboxing).
Cliquez sur le menu déroulant Service (Service) et sélectionnez (Symantec Cynic (sandboxing dans le cloud).
Cliquez sur (Enregistrer).
Se reporter à Modification de l'emplacement géographique où vous envoyez des fichiers pour le sandboxing dans le cloud.
Configuration du sandboxing de l'appliance sur site
Pour configurer Symantec EDR afin qu'il utilise une appliance Malware Analysis ou Content Analysis de Symantec pour le sandboxing
Effectuez l'une des opérations suivantes :
Dans la EDR cloud console, cliquez sur (Paramètres). Sous Environment (Environnement), sélectionnez une appliance, puis cliquez sur .
Dans la EDR appliance console, cliquez sur (Paramètres > Appliances).
Effectuez l'une des opérations suivantes :
Cliquez sur (Modifier les paramètres de sandboxing).
Cliquez sur le menu déroulant Service (Service) et sélectionnez (Symantec Content Analysis (sandboxing sur site).
Configurez les paramètres suivants pour votre appliance sandbox :
Vous pouvez également sélectionner (Utiliser le proxy réseau) pour accéder à l'appliance de sandbox via le proxy réseau Symantec EDR.
Se reporter à Configuration des informations proxy de réseau.
Si vous le souhaitez, vous pouvez sécuriser les communications entre Symantec EDR et l'appliance de sandbox. L'utilisation d'un certificat de serveur empêche l'espionnage ou les interférences malveillantes. Effectuez les opérations suivantes :
Obtenez un certificat de votre appliance de sandbox et enregistrez-le dans un emplacement auquel vous pouvez accéder depuis la EDR appliance console.
Un certificat obtenu à partir de l'appliance de sandbox doit contenir une chaîne de certificats et pas uniquement le certificat feuille. Symantec EDR peut également accepter un certificat auto-signé à partir du serveur de sandbox.
Dans la EDR appliance console ou la EDR cloud console, dans la boîte de dialogue Edit Sandboxing Settings (Modifier les paramètres de sandboxing), sélectionnez (Valider le certificat de serveur).
Recherchez et sélectionnez le certificat.
Cliquez sur (Enregistrer).
Se reporter à Interprétation des résultats de sandboxing de Symantec Malware Analysis.
Se reporter à Envoi de fichiers pour sandboxing dans le cloud sans l'aide de la console Symantec EDR
Se reporter à Envoi automatique des fichiers suspects pour une analyse sandbox virtuelle
Se reporter à Suppression des fichiers des terminaux
Merci pour vos commentaires. Faites-nous savoir ci-dessous si vous avez d'autres commentaires. (connexion requise)