沙盒分析器
沙盒分析器 通过对未被 Bitdefender 反恶意软件引擎识别的可疑文件进行自动深度分析,提供针对高级威胁的强大防护层。
注意
该模块适用于:
-
工作站版Windows
-
服务器版Windows
手动提交至 沙盒分析器 同样支持Linux终端。但这些策略设置仅影响自动提交,因此不适用于受 BEST .
注意
本节涵盖 沙盒分析器 云端,由 Bitdefender 托管。对于旧版 本地沙盒分析器 ,请参阅 旧版 章节。
终端传感器
Bitdefender终端安全工具 可作为 沙盒分析器 的输入传感器,自动提交来自Windows终端的可疑样本。
要配置 沙盒分析器 的自动提交设置,请转到以下章节:
-
连接设置 .
终端传感器默认配置为将样本提交至由 Bitdefender 托管的 沙盒分析器 实例(具体取决于您所在地区)。
若您的网络位于代理服务器或防火墙后方,可通过勾选 使用代理配置 复选框来配置代理以连接 沙盒分析器 。
需填写以下字段:
-
服务器 - 输入代理服务器的IP地址或主机名。
示例:
-
IP地址:
198.51.100.10 -
主机名:
proxy-example.com注意
请勿使用以下格式:
http://proxy-example.com或proxy-example.com:8080,这些格式无效。
-
-
端口 - 输入用于连接代理服务器的端口号。示例:
8080或3128. -
用户名 - 输入授权访问代理服务器的用户名。
-
密码 - 输入指定用户对应的密码。
沙箱分析器 支持通过具有中继角色的端点提交本地文件,这些端点可连接到不同 沙箱分析器 门户地址(具体取决于您所在地区)。有关中继配置设置的详细信息,请参阅 中继 .
注意
在 沙箱分析器 连接设置将覆盖所有具有中继角色的端点。
-
-
启用 从托管端点自动提交样本 选项。如需手动提交样本,请参阅 手动提交 .
重要提示
-
沙箱分析器 需启用实时扫描功能。请确保已启用 反恶意软件 > 实时防护 模块。
-
沙箱分析器 采用与 反恶意软件 > 实时防护 中相同的目标和排除项。配置 实时 扫描设置时请仔细检查 沙箱分析器 .
-
为避免误报(错误检测合法应用程序),可按文件名、扩展名、路径等条件定义排除项。有关排除项的更多信息,请参阅 反恶意软件配置 .
除 反恶意软件 章节定义的排除项外,您也可在本页面 排除项 字段中指定,具体说明见下文。
-
任何文件或压缩包的上传限制为50 MB。
-
-
选择 分析模式 。提供两种选项:
-
监控模式 。用户可在沙箱分析期间访问文件,但建议在收到分析结果前不要执行该文件。
-
拦截模式 。在分析结果从 沙箱分析器 集群通过 沙箱分析器 门户返回至终端前,用户无法访问该文件。结果应显示文件是安全的。
-
-
指定 修复操作 。当 沙箱分析器 检测到威胁时执行这些操作。每种分析模式均提供默认操作。
首次访问此部分时,可执行以下操作:
-
在 监控模式 下,默认操作为 仅报告 ,且备用操作处于禁用状态。
-
在 拦截模式 下,默认操作为 隔离 ,而备用操作为 删除 .
注意
作为最佳实践,建议在此配置中使用修复操作。
沙盒分析器 提供以下修复操作:
-
清除 :从受感染文件中移除恶意代码。
-
删除 :从磁盘中彻底移除检测到的文件。
-
移至隔离区 :将受感染对象从其当前位置移动到隔离文件夹。隔离对象无法被执行或打开,因此感染风险将消除。您可以在 隔离区 页面的 控制中心 .
-
仅报告 : 沙盒分析器 仅报告检测到的威胁,而不对其采取任何其他操作。
注意
根据默认操作,回退操作可能不可用。
-
-
在 内容预过滤 下,自定义针对潜在威胁的防护级别。终端传感器内置了内容过滤机制,用于确定可疑文件是否需要在 沙盒分析器 .
支持的对象类型包括:应用程序、文档、脚本、压缩文件和电子邮件。有关支持对象类型的更多详细信息,请参阅 沙盒分析器 对象 .
使用威胁列表顶部的总开关为所有对象类型选择统一的防护级别,或单独选择级别以微调防护。
将模块设置为特定级别将导致提交一定数量的样本:
-
宽松模式 。终端传感器仅自动提交 沙盒分析器 高概率恶意对象,忽略其余对象。
-
标准模式 。终端传感器在提交与忽略对象间取得平衡,向 沙盒分析器 发送高概率和低概率恶意对象。
-
激进模式 。终端传感器向 沙盒分析器 提交几乎所有对象,无论其潜在风险。
排除项 。在此字段中,可定义不希望提交至 沙盒分析器
的提交对象大小 。要设定提交对象的大小限制:
-
勾选相应复选框。
-
输入1 KB至50 MB之间的任意值。
-