檢視次數:
沙箱是一個雲端沙箱,專為分析可疑檔案和URL而設計。沙箱映像允許在模擬您網路端點的環境中觀察檔案和URL的行為,而不會有危害網路的風險。
沙箱與Threat Connect協同工作,趨勢科技全球資訊網絡提供可行的信息和建議,以應對安全威脅。
雲端電子郵件和協作保護 當檔案或 URL 表現出可疑特徵且基於簽章的掃描技術無法找到已知安全威脅時,會將可疑檔案(包括電子郵件附件和上傳的檔案)和 URL(包含在檔案和電子郵件正文中)發送到沙箱。沙箱在各種運行環境中執行靜態分析和行為模擬,以識別潛在的惡意特徵。在分析過程中,沙箱會根據上下文對特徵進行評分,然後根據累積評分為樣本分配風險等級。
注意
注意
可疑物件是指在提交的樣本中發現的已知惡意或潛在惡意的 IP 位址、網域、URL、SHA-1 值、SHA-256 值或發件人地址。Trend Micro Threat Connect 會將您環境中偵測到的可疑物件與趨勢科技主動雲端截毒技術的安全威脅資料進行關聯,以提供相關且可行的情報。
相關資訊

配置沙箱

步驟

  1. 選擇沙箱
  2. 啟用沙箱。
    注意
    注意
    通常情況下,沙箱(如果已啟動)需要三分鐘來分析和識別附件或文件的風險,某些文件可能需要長達30分鐘。
  3. (可選)選擇Monitor and log only複選框以啟用沙箱的監控模式。
    注意
    注意
    • 此選項不適用於 Gmail。
    • 監控模式下的沙箱仍會分析由 雲端電子郵件和協作保護 發送的可疑 URL、電子郵件和檔案,但僅將其記錄在日誌中並傳送給最終使用者,而不採取此處配置的任何操作。這有助於在對郵件流和檔案共享零影響的情況下評估沙箱的能力。
    • 如果監控模式下的沙箱已啟動,則以下所有設定均不適用,除非在處理行動中啟用,雲端電子郵件和協作保護會在檢測到安全風險時通知管理員。
  4. 配置規則設定。
    設定
    說明
    分析以下內容
    選擇沙箱適用的對象類型。
    • Files
      注意
      注意
      此核取方塊預設為選取狀態且無法取消選取。
    • URLs
      注意
      注意
      • 只有在網頁信譽評等服務已啟動時,才能選擇此核取方塊。
      • 如果網頁信譽評等服務被禁用,此複選框將自動清除。
    套用至
    (僅限 Exchange Online 和 Gmail)選擇沙箱適用的電子郵件訊息範圍。
    • All messages:表示此政策適用於收件、發件和內部電子郵件訊息。收件/發件電子郵件訊息是從/發送到非內部網域。
    • Incoming messages:表示此政策僅適用於來自非內部網域的傳入電子郵件訊息。
    注意
    注意
    有關內部網域的詳細資訊,請參閱 配置內部網域清單
    對於 Exchange Online(內聯模式),範圍固定為Inbound messages 用於輸入保護,Outbound messages 用於輸出保護。輸入郵件是從組織外部發送到組織內部地址,而輸出郵件是從組織內部發送到外部地址。
  5. 點選Approved/Blocked List
  6. (僅限 Exchange Online 和 Gmail)配置已批准的發件人列表。
    1. 啟用已核准的寄件者清單。
    2. 指定一個發送電子郵件地址或網域以繞過沙箱掃描,然後點選Add >
      注意
      注意
      您可以使用萬用字元 (*) 來表示電子郵件地址或網域名稱中的任何字符。範例:*@example.comname@*.com*@*.example.com
      以下格式無效:*@**
    3. 您可以選擇點選匯入以批次匯入寄件者電子郵件地址。
  7. 配置Approved File List以添加您不想發送給沙箱進一步分析的文件。
    注意
    注意
    在此版本中,此選項不適用於 Microsoft Teams(聊天)。
    1. 啟用已核准的檔案清單。
    2. 指定要排除掃描的檔案名稱,然後點選Add >
      注意
      注意
      您可以使用萬用字元 (*) 來表示檔案名稱中的任何字元。範例:*.exefile*.exefile*
      以下格式無效:*.**
      檔案名稱不區分大小寫,不能超過\ 255\ 個字元,且不能包含以下任何字元:/\ \ :\ ?\ <\ >\ "\ |
      最多支援 1,024 個檔案名稱。
    3. (選擇性)點選匯入以批次匯入檔案名稱。
    4. (選擇性)點選Export以將指定的檔案名稱匯出為.txt檔案。
  8. 點選Action & Notifications
  9. 配置處理行動設定。
    沙箱根據文件在虛擬沙箱中的行為為分析的文件分配風險等級。根據此分配的風險等級選擇操作。
    有關操作的詳細資訊,請參閱 不同服務可用的操作
  10. 配置通知設定。
    選項 說明
    通知管理員
    1. 透過選擇收件者群組或指定個別收件者來指定要通知的管理員。您可以點選Manage recipient groups來編輯群組中的成員或新增更多群組。
    2. 指定訊息詳細資訊以通知管理員雲端電子郵件和協作保護檢測到安全風險並對電子郵件訊息、附件或檔案採取了行動。
    3. 設定通知閾值以限制發送通知訊息的數量。閾值設定包括:
      • Send consolidated notifications periodically雲端電子郵件和協作保護 發送一封電子郵件,匯總一段時間內的所有通知。請在框中輸入一個數字並選擇小時或天來指定時間段。
      • Send consolidated notifications by occurrences雲端電子郵件和協作保護 發送一封電子郵件,匯總一定數量的過濾操作通知。請在框中輸入一個數字以指定病毒/惡意程式發生的次數。
      • 發送個人通知雲端電子郵件和協作保護每次都會發送電子郵件通知雲端電子郵件和協作保護執行過濾操作。
    通知使用者
    Exchange Online and Gmail:指定訊息詳細資訊,通知收件者雲端電子郵件和協作保護檢測到安全風險並已對其電子郵件訊息或附件採取行動。
    SharePoint Online, OneDrive, Microsoft Teams (Teams), Box, Dropbox, and Google Drive:指定訊息詳細資訊,通知使用者誰更新了檔案,雲端電子郵件和協作保護 檢測到安全風險並對其檔案採取了行動。
    Teams Chat雲端電子郵件和協作保護 不提供此選項。當聊天訊息被封鎖時,Microsoft 會在發送者的私人聊天視窗中顯示「此訊息已封鎖」的通知。訊息發送者可以點選 What can I do? 以查看有關已封鎖訊息的詳細資訊。
    注意
    注意
    指定通知訊息時,請包含相關的標記並根據需要編輯訊息內容。有關標記的詳細資訊,請參閱 代幣列表
  11. 點選儲存或在左側導航中選擇其他政策配置以繼續添加規則。