Architektura Analizatora Sandbox

W tym artykule opiszemy jak wygląda architektura Analizatora Sandbox. 

Analizator Sandbox Bitdefender zapewnia potężną warstwę ochrony przed zaawansowanymi zagrożeniami, wykonując automatyczną, dogłębną analizę podejrzanych plików, które nie są jeszcze podpisane przez silniki antymalware Bitdefender.

Sandbox Analyzer zawiera następujące składniki:

Portal Analizatora Sandbox. Ten komponent jest hostowanym serwerem komunikacyjnym używanym do obsługi żądań między punktami końcowymi a klastrem Sandbox Bitdefender.

Klaster Analizatora Sandbox. Ten komponent jest hostowaną infrastrukturą sandboxa, w której odbywa się analiza behawioralna próbek. Na tym poziomie przesłane pliki są detonowane na maszynach wirtualnych z systemem Windows 10. Infrastruktura Analizatora Sandbox znajduje się Holandii i Stanach Zjednoczonych (Stan Iowa).

GravityZone Control Center działa jako konsola zarządzająca i raportująca w której konfiguruje się polityki zabezpieczeń, przegląda raporty z analiz i powiadomienia.

Bitdefender Endpoint Security Tools, agent zainstalowany na punktach końcowych, działa jako sensor przekazujący dane do Analizatora Sandbox.

Gdy Analizator Sandbox zostanie aktywowany w polityce: 

• Agent Bitdefender zaczyna przesyłać podejrzane pliki, które pasują do reguł  ustawionych w polityce.
• Po przeanalizowaniu plików, odpowiedź jest wysyłana z powrotem do Portalu i dalej do punktu końcowego.
• Jeśli plik zostanie wykryty jako niebezpieczny, użytkownik otrzyma powiadomienie i zostanie podjęta akcja naprawcza.

Wyniki analizy są zachowywane jako hash pliku w bazie danych Analizatora Sandbox. Gdy wcześniej przeanalizowany plik zostanie przesłany z innego punktu końcowego, odpowiedź jest natychmiast wysyłana z powrotem, ponieważ wyniki są już dostępne w bazie danych.

Źródło: https://www.bitdefender.com/business/support/en/77209-376364-sandbox-analyzer-architecture.html