CrowdStrike Falcon® Sandbox est une solution d'analyse antimalware automatisée qui permet aux équipes de sécurité de combiner une recherche de menaces très complète avec les résultats de l'outil d'analyse en environnement sandbox le plus puissant du marché. Cette association unique apporte le contexte nécessaire aux analystes pour comprendre les attaques sophistiquées et adapter leurs systèmes de défense. Falcon Sandbox effectue une analyse en profondeur des menaces furtives et encore inconnues, enrichit les résultats grâce au renseignement sur les menaces et génère des indicateurs de compromission. Falcon Sandbox permet aux équipes de sécurité de tous niveaux de mieux comprendre les menaces auxquelles elles font face et d'utiliser ces connaissances pour se défendre contre les attaques futures.
Questions fréquentes –
CrowdStrike Falcon® Sandbox
Vous souhaitez découvrir CrowdStrike Falcon® Sandbox en action ? Démarrez une évaluation gratuite.
L'analyse hybride est une méthode d'analyse de fichiers qui combine les données d'exécution avec l'analyse du vidage de mémoire pour en extraire tous les chemins d'exécution possibles, même ceux des logiciels malveillants les plus furtifs. L'association entre l'analyse hybride et les analyses approfondies pré- et post-exécution offre des résultats exceptionnels, avec un plus grand nombre d'indicateurs de compromission que toute autre solution d'analyse en environnement sandbox. Toutes les données produites par le moteur d'analyse hybride sont traitées automatiquement et sont intégrées aux rapports d'analyse antimalware.
Hybrid-Analysis.com est un site gratuit de lutte contre les logiciels malveillants, une communauté d'utilisateurs qui soumettent leurs fichiers pour permettre une analyse en profondeur. Qui plus est, les utilisateurs peuvent effectuer des recherches sur des milliers de rapports sur les logiciels malveillants existants ou télécharger des exemples et des indicateurs de compromission, via le site web et des API REST bien documentées.
Hybrid Analysis est un service indépendant utilisant Falcon Sandbox, et une excellente façon d'évaluer la technologie de Falcon Sandbox. Hybrid Analysis offre un sous-ensemble des fonctionnalités de Falcon Sandbox. Le tableau suivant illustre quelques-unes des différences :
Fonctionnalité | Hybrid-Analysis.com | Falcon Sandbox |
ENVIRONNEMENTS DE DÉTONATION | ||
Windows 7 (32/64 bits) |
✓ |
✓ |
Windows 10 | ✓ | |
Ubuntu 16 (64 bits) | ✓ | ✓ |
SOUMISSIONS DE FICHIERS | ||
Nombre maximum de soumissions de fichiers par mois | Jusqu'à 30 en tant qu'invité | Jusqu'à 25 000 |
Analyse de fichiers/d'archives | ✓ | ✓ |
Analyse d'URL | ✓ | ✓ |
Soumission sans reCAPTCHA | ✓ | |
Nouvelle analyse des fichiers extraits | ✓ | |
TÉLÉCHARGEMENTS | ||
Échantillons binaires/PCAPS | ✓ | ✓ |
MAEC, STIX, MISP, OpenIOC | ✓ | ✓ |
PDF, JSON, HTML | ✓ | |
RAPPORTS | ||
Synthèse des risques et verdict | ✓ | ✓ |
Affichage de tous les indicateurs d'actes malveillants/suspects (indicateurs de compromission) | ✓ | |
Affichage de tous les déclencheurs de règles IDS du réseau | ✓ | |
Confidentialité totale pour vos rapports | ✓ | |
INTÉGRATION | ||
Intégration du renseignement sur les menaces de CrowdStrike (attribution, indicateurs de compromission, IDS, YARA) | ✓ | |
Intégration de Falcon MalQuery | ✓ | ✓ |
API REST pour les soumissions et la recherche de fichiers | ✓ | ✓ |
Prise en charge des outils SOAR (Phantom, Demisto, etc.) | ✓ |
Oui, les fichiers soumis à Falcon Sandbox demeurent confidentiels. Tous les fichiers soumis et tous les rapports associés sont stockés et gérés sur la plateforme Falcon hautement sécurisée.
Les auteurs de logiciels malveillants actuels connaissent bien la technologie sandbox. Leurs logiciels malveillants sont munis de mécanismes qui interrompent ou cachent l'activité malveillante lorsqu'ils détectent la surveillance du fichier par un processus externe. Les moniteurs sandbox classiques, de première génération, s'exécutent au niveau de l'application (mode utilisateur) pour intercepter les appels de bibliothèque, faciles à détecter. Falcon Sandbox met en œuvre la surveillance au niveau du système d'exploitation (mode noyau), agissant en toute discrétion et laissant le processus cible intact. La surveillance en mode noyau de Falcon Sandbox s'est avérée robuste et extrêmement efficace contre les échantillons de logiciels malveillants identifiés en environnement réel et très récents. CrowdStrike met en œuvre des technologies de classe mondiale pour la détection des contournements de machine virtuelle et d'environnement sandbox, illustrées par quelques outils de référence tels que Pafish ou VMDE. Ce sont ces technologies qui permettent l'analyse des logiciels malveillants les plus furtifs. CrowdStrike met continuellement à jour Falcon Sandbox afin de conserver son avance sur les techniques de contournement les plus récentes, et vérifie les performances de son produit en interne, avec des outils de référence augmentés de renseignements provenant du public (sur Hybrid-Analysis.com) qui sont testés chaque jour sur le terrain.
Falcon Sandbox s'adapte automatiquement aux volumes et dimensions nécessaires. Avec la licence appropriée, il est possible de traiter jusqu'à 25 000 fichiers par jour. Ce niveau d'évolutivité est fourni sans aucun coût d'infrastructure à la charge du client.
Falcon Sandbox prend en charge les fichiers PE (.exe, .scr, .pif, .dll, .com, .cpl, etc.), Office (.doc, .docx, .ppt, .pps, .pptx, .ppsx, .xls, .xlsx, .rtf, .pub), PDF, APK, JAR exécutables, Windows Script Component (.sct), Windows Shortcut (.lnk), Windows Help (.chm), HTML Application (.hta), Windows Script File (*.wsf), Javascript (.js), Visual Basic (*.vbs, *.vbe), Shockwave Flash (.swf), Perl (.pl), Powershell (.ps1, .psd1, .psm1), Scalable Vector Graphics (.svg), scripts Python (.py) et Perl (.pl), exécutables Linux ELF, MIME RFC 822 (*.eml) et les fichiers Outlook *.msg.
Les archives peuvent être téléchargées avec ou sans mot de passe : formats ACE, ARJ, 7z, bzip2, gzip2, ISO, RAR, REV, TAR, WIM, XZ et ZIP. Si un mot de passe est utilisé, ce doit être le mot obligatoire, « infected ».
Falcon Sandbox permet à l'utilisateur de prendre les commandes en lui donnant la possibilité de paramétrer la manière selon laquelle la détonation du logiciel malveillant est déclenchée. Ces options sont notamment le réglage de l'heure et de la date, des variables environnementales, le paramétrage des options de ligne de commande, l'enregistrement de mots de passe pour les invites Adobe PDF et Office et d'autres encore. De plus, il est possible de choisir parmi plusieurs « scripts d'action » qui imitent le comportement d'un utilisateur (clics et déplacements de la souris, saisies au clavier, etc.) pendant une détonation, pour tenter de révéler un logiciel malveillant tentant d'échapper à la technologie sandbox.
Les indicateurs de comportement, qui sont similaires aux indicateurs d'attaque, sont le signe d'une activité à haut risque ou d'une série d'activités potentiellement malveillantes. Ce serait par exemple l'ajout d'une entrée dans un registre de démarrage automatique, la modification d'un des paramètres du pare-feu, l'écriture d'un ransomware connu sur le disque ou l'envoi de données vers des ports inhabituels. Les indicateurs de comportement donnent une idée du risque que peut représenter un fichier ; ils sont utilisés pour identifier des cybermenaces encore inconnues. Falcon Sandbox comprend plus de 700 indicateurs de comportement génériques. Les indicateurs existants sont constamment mis à jour, et de nouveaux indicateurs y sont sans cesse ajoutés.
Falcon Sandbox prend en charge Windows Desktop XP, Vista, 7, 8, 10 (32 et 64 bits) et Ubuntu/RHEL Linux (32 et 64 bits). Nous prenons également en charge l'analyse statique pour les fichiers Android APK.
Les rapports Falcon Sandbox comprennent un résumé d'intervention sur incident, des liens vers des rapports d'analyse sandbox connexes, de nombreux indicateurs de compromission, des informations d'attribution de l'attaque, des analyses récursives de fichiers, des détails concernant les fichiers, des copies d'écran de la détonation, l'arborescence du processus d'exécution, des analyses du trafic du réseau, des chaînes extraites de fichiers et des recherches de réputation sur IP/URL. De plus, les rapports sont enrichis d'informations provenant d'AlienVault OTX, de VirusTotal et de CrowdStrike Intelligence, permettant l'attribution de la responsabilité de l'attaque, des échantillons en rapport avec l'incident, etc. Il est également possible de consulter les rapports fournis par Falcon Sandbox pour y trouver des exemples.
Oui. Falcon Sandbox offre une série d'options de recherche, y compris la possibilité de combiner les termes de recherche. Il est possible de faire des recherches par nom de famille de virus, cybercriminel, type de fichier, hachage, balise, ou en fonction du déclenchement ou non d'un indicateur de comportement spécifique. Il est même possible d'obtenir des rapports contenant une adresse IP, un pays, un domaine ou une URL spécifiques, et plus encore.
L'analyse récursive est une fonctionnalité unique permettant de déterminer si un fichier analysé est associé à une campagne de plus grande envergure, à une famille de logiciels malveillants ou à un certain attaquant. Falcon Sandbox utilise automatiquement le moteur de recherche le plus puissant du marché pour trouver des échantillons semblables et, en quelques secondes, étendre l'analyse à l'ensemble des fichiers. Cette analyse est importante parce qu'elle permet aux analystes de mieux comprendre l'attaque et leur fournit une gamme plus large d'indicateurs de compromission, qui pourront être utilisés pour mieux protéger l'entreprise.
La licence Falcon Sandbox est disponible sur la base d'un abonnement, dont le prix se calcule en fonction du nombre de fichiers analysés par Falcon Sandbox par mois.
Pour en savoir plus, contactez-nous.