跳至主内容

部署 沙盒分析器 虚拟设备(安全设备沙盒)

要部署 沙盒分析器 虚拟设备:

  1. 登录 GravityZone 控制中心 .

  2. 进入 网络 > 软件包 页面。

  3. 选择 沙盒分析器 从表格中勾选复选框。

  4. 点击 下载 按钮位于页面左上角。选择 安全设备(ESXi独立版) 选项。

  5. 使用您的虚拟化管理工具(如vSphere Client)将下载的OVA文件导入虚拟环境。

    注意

    部署OVA文件时,请按如下方式配置网络:

    • Bitdefender 网络 - 这是其他 Bitdefender 组件所在的网络。这是与 GravityZone 环境通信的网络接口卡(NIC)。

    • 私有引爆网络 - 该网络将被 沙盒分析器 用于内部通信。此网络必须与其他网段隔离。

    • 互联网访问网络 - 沙盒分析器 将使用此网络获取最新更新。

  6. 启动设备。

  7. 通过虚拟化管理工具访问 沙盒分析器 虚拟设备的控制台界面。

  8. 当提示输入凭据时,使用 root 作为用户名, sve 作为密码。

  9. 通过运行以下命令访问配置菜单:

  10. 沙箱配置 菜单中,进行以下设置:

    1. 网络配置 。选择此选项以配置管理网卡。 沙箱分析器 将使用此网络接口与 GravityZone .

      IP地址可手动指定或通过DHCP自动获取。

      sandbox-op-appliance.PNG

    2. 互联网代理配置 。为确保安装成功, 沙箱分析器 需连接互联网。若需代理,可通过以下参数配置 沙箱分析器 使用代理服务器:

      • 主机 - 代理服务器的IP或FQDN。使用以下语法: http://<IP/主机名>:<端口> .

      • 用户与密码 - 需重复输入密码两次。

      • - 若适用,填写Active Directory域。

    3. 通信服务器配置 指定运行 通信服务器 角色的设备IP地址或主机名。

      使用以下语法: http://<IP/主机名>:<端口> ,默认端口为 8443 .

      注意

      一旦指定IP地址或主机名并保存配置, 沙盒分析器 实例将出现在 GravityZone 控制中心 沙盒分析器 > 基础架构 页面中。

    4. 虚拟化主机配置 . 沙盒分析器 使用ESXi服务器部署恶意软件分析基础架构。通过 虚拟化主机配置 ,您可以将 沙盒分析器 设备连接到ESXi主机,需提供以下信息:

      • ESXi服务器IP地址。

      • 访问ESXi主机的root凭据。

      • 专用于 沙盒分析器的数据存储 .

        输入ESXi显示的存储名称。

      • 用于在存储上存放虚拟机镜像的文件夹名称。

        若该文件夹不存在,必须在保存 沙盒分析器 配置前于存储中创建。

      sandbox-op-virtualization.png

    5. 虚拟机镜像 。要为 沙盒分析器 构建引爆虚拟机,需将包含所需镜像的VMDK文件复制至 镜像 文件夹,该文件夹在 虚拟化主机配置 菜单中指定。针对每个镜像,可在 虚拟机镜像 菜单中进行如下设置:

      1. 镜像配置 菜单中,指定镜像名称(将显示于 GravityZone 控制中心 )及操作系统。

        注意

        包含虚拟机镜像的文件夹会被定期扫描,新条目将上报至 GravityZone 。这些条目可在 控制中心 沙盒分析器 > 基础架构 > 镜像管理 页面。详情请参阅 本主题 .

        在某些情况下,使用 沙箱分析器 时,可能会遇到引爆虚拟机的问题。为解决这些问题,需禁用反指纹识别选项。详情请参阅 反指纹识别技术 .

      2. DMZ主机 菜单中,可将虚拟机内嵌第三方服务及组件需与沙箱管理器通信的主机名加入白名单。详情请参阅 DMZ主机

      3. 清理 菜单中,可移除不再需要的虚拟机镜像。

    6. 引导沙箱 。完成 沙箱分析器 配置后,选择此选项继续安装。安装状态将显示于 GravityZone 控制中心 沙箱分析器 > 基础设施 页面。

    安装完成后, 沙箱分析器 虚拟设备将显示为 安全设备沙箱 配置 > 更新 > 组件 部分的 GravityZone 控制中心 .

安装过程中有时可能会遇到错误。如需解决这些问题,请参考: 沙盒分析器本地版的 安装错误代码 .

反指纹识别技术

默认情况下,在镜像构建过程中, 沙盒分析器 会启用多种反指纹识别技术。某些恶意软件能够检测自身是否在沙盒环境中运行,若是则不会激活其恶意例程。

反指纹识别技术的目的是通过模拟各种条件来仿真实体环境。由于部署软件与环境配置存在无法预知或控制的虚拟组合,某些技术可能与黄金镜像中的软件不兼容。您可通过以下症状识别此类罕见情况:

  • 镜像构建过程中出现错误。

  • 尝试在镜像内运行软件时出错。

  • 引爆样本时返回失败信息。

  • 许可软件因密钥失效而停止工作。

针对此类罕见情况的快速解决方法是禁用反指纹识别技术后重建镜像。具体步骤如下:

  1. 登录 GravityZone 控制中心 并删除镜像。

  2. 登录 沙盒分析器 设备并启动 沙盒分析器 设备控制台,运行以下命令: 

    /opt/bitdefender/bin/sandbox-setup

  3. 前往 虚拟机镜像 > 镜像配置 .

  4. 选择存在问题的镜像。

  5. 前往 反指纹识别 选项。

  6. 取消勾选对应复选框以禁用反指纹识别技术。

关于构建虚拟机镜像时可能遇到的错误列表,请参阅 沙盒分析器中 镜像管理的错误代码 .

此外,请参考以下主题:

DMZ主机

在镜像构建过程中,将创建虚拟基础设施以促进沙盒管理器与虚拟机之间的通信。从网络角度看,这将形成一个隔离的网络环境,包含引爆样本可能产生的所有潜在通信。

DMZ服务器菜单允许将虚拟机内嵌的第三方服务和组件需要通信的主机名加入白名单,以确保其正常运行。

这种情况的一个例子是Windows许可证使用的KMS授权服务器,前提是提供的虚拟机上应用了批量许可证。

后续操作

安装完 沙盒分析器 虚拟设备后,您可以执行以下操作:

本节内容 :