X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

FAQ CrowdStrike Falcon™ Sandbox

Quer ver o CrowdStrike Falcon Sandbox em ação?

O que é o o Falcon Sandbox?

O Falcon Sandbox da CrowdStrike é uma solução automatizada de análise de malwares que fortalece as equipes de segurança ao sobrepor uma inteligência abrangente de ameaça com os resultados das soluções sandbox mais poderosas do mundo. Essa combinação única fornece contexto, permitindo que os analistas compreendam melhor os ataques sofisticados de malware e aprimorem suas defesas. O Falcon Sandbox realiza análises profundas de ameaças evasivas e desconhecidas, enriquece os resultados com inteligência de ameaça, e fornece indicadores de comprometimento (IOCs) acionáveis. O Falcon Sandbox possibilita que as equipes de cibersegurança de todos os níveis de habilidade melhorem sua compreensão das ameaças que enfrentam e usem esse conhecimento para se defender contra ataques futuros.

O que é a tecnologia de análise híbrida e como ela beneficia a análise de malwares?

A análise híbrida é uma abordagem de análise de arquivos que combina dados de execução com análise de despejo de memória para extrair todos os caminhos possíveis de execução, até entre os malwares mais evasivos. A combinação da análise híbrida com uma análise extensa pré e pós execução resulta em uma funcionalidade única, permitindo extrair mais IOCs do que as soluções de sandbox da concorrência. Todos os dados extraídos do mecanismo de análise híbrida são processados automaticamente e integrados ao relatório de análise de malware.

Como a licença da Falcon Sandbox se diferencia da Hybrid-Analysis.com?

Hybrid-Analysis.com é uma comunidade online gratuita de análise de malwares, que permite que seus usuários enviem seus arquivos para uma análise profunda gratuita. Além disso, os usuários podem vasculhar por entre milhares de relatórios existentes de malwares ou fazer o download de amostras e IOCs pelo website e por REST API bem documentadas.

A análise híbrida é um serviço independente oferecido pelo Falcon Sandbox e uma ótima maneira de avaliar a tecnologia do Falcon Sandbox. A análise híbrida fornece um subconjunto das funcionalidades do Falcon Sandbox. A tabela a seguir destaca algumas das diferenças:

Funcionalidade Hybrid-Analysis.com Falcon Sandbox Private Cloud Falcon Sandbox On Premise
AMBIENTES DE EXECUÇÃO
Windows 7 (32/64)

Windows 10
Ubuntu 16 (64)
Ubuntu 16 (16/64) and RedHat
Imagens “Golden” Personalizadas
ENVIO DE ARQUIVOS
Envio máximo de arquivos por mês Até 30 como Guest Até 25.000 Ilimitado
Análise de Arquivos
Análise de URLs
Envio sem reCAPTCHA
Reanálise de arquivos extraídos
Roteiros de Ação Personalizados
DOWNLOADS
Amostras Binárias/PCAPS
MAEC, STIX, MISP, OpenIOC
PDF, XML, JSON, HTML
Despejos de Memória por Processo
FUNCIONALIDADES DO RELATÓRIO
Resumo e veredito de visão de risco
Visualização de todos os indicadores nocivos/suspeitos (IOAs)
Visualização de todos os triggers IDS de rede Requer licença
Privacidade total para seus relatórios
INTEGRAÇÃO
Integração CrowdStrike Intel (atribuição, IOCs, IDS, YARA) Requer Licença
Integração Falcon MalQuery
REST API para busca e envio de arquivos
Suporte para ferramentas SOAR (por ex. Phantom, Demisto)
Integração SIEM (CEF, syslog)
E-mail passivo/varredura NSF com Falcon Bridge
FUNCIONALIDADES DO SISTEMA
Ambientes ilimitados de execução
Criar IOAs personalizados
Acrescentar regras YARA personalizadas
Os arquivos enviados para o Falcon Sandbox são confidenciais?

Sim, os arquivos enviados para o Falcon Sandbox são confidenciais. Quando você adquire a licença do Falcon Sandbox, a CrowdStrike cria uma nuvem exclusiva e particular para a sua empresa. Todos os arquivos enviados e relatórios associados são armazenados e mantidos nesse espaço separado. Se você possuir políticas de confidencialidade que restringem o envio de arquivos malware para a nuvem, por favor considere a versão Falcon Sandbox On-Prem.

Por que um “monitor de kernel mode” é importante na análise de malwares?

Criadores de malwares modernos conhecem a tecnologia sandbox e instrumentaram seus malwares para impedir ou camuflar atividades nocivas ao detectar um processo externo monitorando o arquivo. Um sandbox tradicional é executado na camada de aplicação (modo usuário) para interceptar chamadas de bibliotecas do sistema, que são facilmente detectadas. O Falcon Sandbox implementa o monitoramento no nível do sistema operacional (kernel mode), deixando o processo de destino inalterado, dificultando muito sua detecção. O monitor de kernel mode do Falcon Sandbox provou ser robusto e extremamente eficiente contra amostras “selvagens” e mais frequentes de malware. A reconhecida tecnologia de detecção anti-sandbox e anti-VM da CrowdStrike (ilustrada por ferramentas modelo como Pafish ou VMDE) permite a análise dos malwares mais evasivos. A CrowdStrike está constantemente atualizando o Falcon Sandbox, para permanecer à frente das novas técnicas de evasão, e verifica seu desempenho com o uso de ferramentas modelo internas e também daquelas disponíveis na comunidade (Hybrid-Analysis.com), testadas em campo diariamente.

Como o Falcon Sandbox se escala?

O Falcon Sandbox Private Cloud escala automaticamente. Você pode processar facilmente até 25.000 arquivos por dia com a licença apropriada. Esse nível de escala é oferecido sem nenhum custo de infraestrutura para você.

Clientes Falcon Sandbox On-Prem podem escalar facilmente para processar até 25.000 arquivos por dia, dependendo da implementação. É possível criar sistemas distribuídos em grande escala, utilizando o intermediário de balanceamento de carga Falcon Sandbox Bridge, e permitir o processamento de centenas de milhares de arquivos por dia. Por favor, entre em contato no e-mail [email protected] para instruções sobre opções de implementação.

O que é o Falcon Sandbox On-Prem?

O Falcon Sandbox On-Prem foi criado para empresas que precisam de um controle personalizado de como um malware é executado; que possuem exigências rigorosas de confidencialidade que impedem os arquivos de saírem da empresa; ou que precisam de uma escalabilidade gigante que ultrapasse 25.000 arquivos analisados por dia.

O Falcon Sandbox On-Prem inclui as funcionalidades do Falcon Sandbox Private Cloud, e mais:

  • Permite imagens personalizadas ou “Golden” de máquinas guest virtuais (os hipervisores da VirtualBox são suportados).
  • Analisa arquivos em um número ilimitado de ambientes virtuais paralelos, para oferecer uma detecção real de ataques dirigidos
  • Possibilita ajustar o Falcon Sandbox para suas necessidades específicas. Falcon Sandbox On-Prem possui centenas de opções de configuração, incluindo “roteiros de ação” personalizados (para simular atividade humana durante a execução), indicadores comportamentais personalizados, e é possível manipular o veredito de malwares para personalizar a avaliação de risco
  • Possibilita uma execução totalmente desconectada da rede (air gapped), enquanto simula conectividade em rede (utilizando FakeNet-NG, INetSim)
  • Permite uma variedade de integrações, como o envio de resultados de análises de feedback para SIEMs utilizando syslog CEF.
  • Possibilita acrescentar suas regras YARA personalizadas, whitelists hash/certificadas e mais

A CrowdStrike oferece todos os softwares utilizados pelo Falcon Sandbox On-Prem como parte de um processo automatizado de instalação. A CrowdStrike notifica todos os clientes quando um novo lançamento está disponível, com links para a documentação e o pacote lançado. A atualização do sistema é automática, fácil e rápida.

Qual é a diferença entre o Falcon Sandbox Private Cloud e o Falcon Sandbox On-Prem?
O Falcon Sandbox Private Cloud é a opção preferencial de implementação da maioria dos usuários do Falcon Sandbox. O serviço em nuvem oferece retorno instantâneo e nenhum investimento em infraestrutura, e é uma opção de implementação atraente e econômica.
O Falcon Sandbox On-Prem foi criado para empresas que precisam de um controle personalizado de como um malware é executado; que possuem exigências rigorosas de confidencialidade que impedem que os malwares saim da empresa; ou que precisam de uma escalabilidade gigante que ultrapasse 25.000 arquivos analisados por dia.

A tabela a seguir apresenta um resumo das funcionalidades das duas opções de implementação:

Funcionalidade Falcon Sandbox Private Cloud Falcon Sandbox On-Prem
Arquivos Totais Analisados Por Mês Até 25.000 arquivos Licença ilimitada disponível
Suporte de Sistema Operacional Guest Windows, 7,10, (32/64), Ubuntu Linux (64), Android (static analysis) Acrescenta imagens de máquinas virtuais, Ubuntu Linux (32 bit)
Privacidade Todos os arquivos/relatórios são confidenciais Acrescenta a possibilidade de implementação desconectada da rede (air gapped)
Formatos de Download / Arquivos Amostras binárias, PCAPs, MAEC, STIX, MISP, OPenIOC, PDF, XML, JSON, HTML Acrescenta formato CEF
Customização Configure a execução de malwares (duração, data e tempo), selecione roteiros existentes de ação e escolha ambientes existentes de execução. Acrescenta a possibilidade de executar amostras de malware em imagens personalizadas, criar roteiros de ação definidos pelo usuário e acrescentar opções otimizadas de configuração
Relatórios Relatórios completos de análises, incluindo análise recursiva de arquivos Análise recursiva de arquivos (em breve)
Integração com CrowdStrike Intelligence Sim Requer licença
Integração com MalQuery Sim Em breve
O que é Falcon Sandbox Bridge?

Para clientes Falcon Sandbox On-Prem: Falcon Sandbox Bridge permite a criação de um sistema Falcon Sandbox distribuído que pode processar centenas de milhares de arquivos por dia. Essa escala é possível ao acrescentar servidores físicos ao seu sistema Falcon Sandbox On-Prem existente, com um controle de equilíbrio de carga que distribui os arquivos recebidos a um ou mais servidores de aplicação gerenciados pelo Falcon Sandbox Bridge.

Para todos os clientes Falcon Sandbox: o Falcon Sandbox Bridge pode coletar arquivos de várias fontes (por ex. caixas de entrada de e-mails, drives de rede etc.) e encaminhá-los ao Falcon Sandbox Private Cloud ou ao Falcon Sandbox On-Prem. O processo de coleta de arquivos é implementado ao apurar a fonte do arquivo em uma frequência estipulada pelo usuário. Após a análise ser efetuada, e o resultado de um arquivo for recuperado – com base em um nível de ameaça estipulado pelo usuário – uma notificação automática é enviada por e-mail.

Quais arquivos o Falcon Sandbox consegue analisar?

O Falcon Sandbox suporta arquivos PE (.exe, .scr, .pif, .dll, .com, .cpl, etc.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, JAR executáveis, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta), Windows Script File (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), Powershell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), scripts Python (.py) e Perl (.pl), Linux ELF executables, MIME RFC 822 (*.eml) e arquivos Outlook *.msg.

O upload de arquivos é possível com ou sem senha: ace, arj, 7z, bzip2, gzip2, iso, rar, rev, tar, wim, xz e zip. Se for utilizar uma senha, solicitamos que utilize a senha padrão “infected”.

Quais formatos de relatório são suportados?

Os formatos de relatório incluem XML, MAEC (4.1), OpenIOC (1.1), MISP XML e JSON. Relatórios também são fornecidos em arquivos HTML ou PDR.

Eu consigo controlar como um arquivo é analisado?

Falcon Sandbox permite que um usuário assuma o controle ao oferecer a possibilidade de configurar as definições para determinar como um malware é executado. É possível configurar a data/o horário, variáveis do ambiente, configurar opções de linha de comando, proporcionar senhas para PDF/Office prompts e mais. Além disso, é possível selecionar diversos “roteiros de ação” que imitarão o comportamento de um usuário (como os cliques e movimentos com o mouse, digitações no teclado etc.) durante a execução para auxiliar a expor os malwares que tentam se esconder da tecnologia sandbox.

Quais são os indicadores comportamentais do Falcon Sandbox?

Os indicadores comportamentais, similares aos indicadores de ataque, definem atividades de alto risco ou uma série de atividades realizadas em sequência que podem ser consideradas potencialmente nocivas. Por exemplo, adicionar uma entrada em um registro auto start, alterar a configuração de um firewall, registrar um arquivo ransomware conhecido para o disco, ou enviar dados em portas incomuns. Indicadores comportamentais oferecem uma visão mais completa sobre o risco em potencial do arquivo e são utilizados para identificar ameaças previamente desconhecidas. Falcon Sandbox inclui mais de 700 indicadores genéricos de comportamento, que estão em constante atualização e expansão.

Quais sistemas operacionais de execução são suportados?

São suportados Windows Desktop XP, Vista, 7, 8, 10 (32 e 64 bit) e Ubuntu/RHEL Linux (32 e 64 bit). Também são suportadas análises de arquivos estáticos para arquivos Android APK. Imagens personalizadas de máquinas virtuais (utilizando VMWare e Virtual Box) são suportadas pelo Falcon Sandbox On-Prem.

Que tipo de informação está disponível no relatório de análise do Falcon Sandbox?

Os relatórios do Falcon Sandbox incluem um resumo de resposta a incidentes, links para relatórios de análises de sandbox relacionados, diversos IOCs, atribuição de agente, análise recursiva de arquivos, detalhes de arquivos, screenshots da execução, árvore de processos do tempo da execução, análise de tráfico de rede, cadeias extraídas e pesquisa de reputação IP/URL. Além disso, os relatórios são ricos em informações de AlienVault OTX, VirusTotal e da Falcon Intelligence, oferecendo atribuição de agentes de ameaça, amostras relacionadas, e mais. Além disso, é possível revisar os relatórios do CrowdStrike Falcon Sandbox em busca de exemplos.

Posso efetuar uma investigação de ameaças e vasculhar os resultados de malwares previamente analisados?

Sim, o Falcon Sandbox oferece uma variedade de opções de busca, incluindo a possibilidade de combinar termos de busca. Você pode buscar pelo nome de uma família de vírus, agente de ameaça, tipo específico de arquivo, #tag e se um indicador comportamental específico foi acionado. É possível até encontrar relatórios que identificaram um endereço de IP, país, domínio ou URL específico, e muito mais.

Quais integrações são oferecidas com o Falcon Sandbox?

Falcon Sandbox oferece uma vasta gama de integrações, incluindo:

  • Virus Total e OPSWAT Metadefender
  • AlienVault OTX
  • Sistemas SIEM utilizando formato CEF
  • NSRL (Whitelisting)
  • Thug Honeyclient (por ex. análise de exploração de URL)
  • Suricata (detecção de ameaças de rede)
  • TOR (para evitar impressão digital de IP externo)
  • Plataformas de Orquestração (por ex. Demisto, Phantom)
  • FAME (framework de análise de malware)
  • Cortex (administra parâmetros de detecção em escala)

A API REST completo de Falcon Sandbox também está disponível. (saiba mais)

O que é análise recursiva e por que ela é importante?

Análise recursiva é um recurso único que determina se o arquivo analisado está relacionado a uma ação maior, a uma família de malwares ou um agente de ameaça. O Falcon Sandbox busca automaticamente pelas maiores ferramentas de busca de malwares da indústria para encontrar amostras relacionadas e, em segundos, expandir a análise para incluir todos os arquivos. Isso é importante para oferecer análises com uma compreensão mais profunda do ataque e um conjunto maior de IOCs que podem ser utilizados para uma proteção maior da empresa.

O Falcon Sandbox foi localizado para outros idiomas?

Sim: inglês, alemão, espanhol, francês, italiano, holandês, polonês, português, chinês, turco, russo, vietnamita, coreano, tailandês, indonésio, malaio, árabe.

Como o Falcon Sandbox é precificado?

O Falcon Sandbox é licenciado com base em assinatura, com base no número de arquivos analisados pelo Falcon Sandbox por mês. Há opções flexíveis de assinaturas disponíveis tanto para Falcon Sandbox Private Cloud quanto para On-Prem Edition.

Para mais informações, por favor, entre em contato conosco.