沙箱日志
本帮助主要介绍以下内容:
特性简介
用户可通过沙箱日志查看沙箱检测的结果,包括报文基本信息、检测文件的基本信息以及检测文件是否携带威胁等。
其中,威胁分类和威胁行为字段取值的具体内容请参见“
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
日志的导入、导出和清除操作,不能同时进行。同一时间只能选择一种操作方式。
同一时间,只能有一个用户对日志进行导入、导出或清除的操作。
沙箱日志的详细信息仅支持以JSON格式显示。
附录中字段的取值与沙箱的软件版本有关,请以实际情况为准。
配置指南
日志导入
日志支持导入功能。具体步骤如下:
单击“监控 > 日志 > 安全类”,进入安全类日志页面,在页面中选择“沙箱日志”。
单击<导入>按钮,进入“导入日志”页面,选择导入的日志文件并输入日志文件的密码,选择导入的日志文件并输入日志文件的密码,单击<确定>按钮,即可将日志导入设备中。
日志导出
设备支持将日志导出到PC本地。具体步骤如下:
单击“监控 > 日志 >安全类”,进入安全类日志页面,在页面中选择“沙箱日志”。
单击显示列的<
>过滤器按钮,配置日志的查询条件,单击<确定>按钮,筛选出需要导出的日志。单击<导出>按钮,进入“导出日志”页面,配置日志导出参数,具体参数如下表所示:
表-1 日志导出参数表
参数
说明
设置密码
用于设置日志文件的密码,日志文件会被加密导出,导出后的文件需要输入设置的密码才可以查看
导出条数
用于设置每个日志文件中可以包含的日志条数
当日志实际数量小于或等于配置的导出条数时,设备会将所有日志导出到一个文件中
当日志实际数量大于配置的导出条数时,设备会按照配置的导出条数,将日志分批导出到多个文件中
完成日志导出参数的配置后,单击<导出>按钮,设备会将日志文件导出到PC本地中。
附录
表-2 威胁分类取值对应表
ID | 威胁分类 |
0 | 其它 |
1 | 病毒 |
2 | 木马 |
3 | 蠕虫 |
4 | 后门 |
5 | 勒索软件 |
6 | 下载器 |
7 | 广告 |
8 | 脚本 |
9 | 宏病毒 |
10 | 恶意漏洞文件 |
11 | 网络钓鱼 |
12 | 风险工具 |
13 | 加壳软件 |
14 | 启发式行为 |
15 | 数字货币 |
16 | 僵尸网络 |
17 | APT情报 |
18 | DGA恶意域名 |
表-3 威胁行为取值对应表
ID | 威胁行为 |
1 | 设置开机自启动行为 |
2 | 包含远程注入其他进程行为 |
3 | 设置降低防火墙安全级别,或者加入白名单 |
4 | 设置绕过UAC,提升自身到管理员权限行为 |
5 | 禁用修改系统保护机制 |
6 | 检测系统中是否安装或运行杀软 |
7 | 检测自身是否在沙箱中运行,或者被调试器调试 |
8 | 有自己删除本地文件的行为 |
9 | 有DLL劫持或者映像劫持行为 |
10 | 替换自身为windows自带的exe或dll文件 |
11 | 文件名和系统关键进程相近,假冒关键进程 |
12 | 感染现有PE文件 |
13 | 加载驱动程序 |
14 | 修改IE安全策略 |
15 | 添加修改windows账号 |
16 | 添加修改windows服务 |
17 | 文档类进程有可疑网络连接行为 |
18 | 文档类进程创建可疑进程释放可疑文件 |
19 | 文档类释放可执行程序 |
20 | 自动关机重启注销 |
21 | PE文件执行释放文档脚本类文件 |
22 | 修改host文件 |
23 | Hook程序关键函数,修改程序流程 |
24 | 提升程序本身权限 |
25 | 脚本文件调用powershell行为 |
26 | 脚本文件恶意网络行为 |
27 | 访问敏感文件如浏览器的用户名密码文件 |
28 | Android软件话费吸取 |
29 | Android软件恶意广告 |
30 | Android软件窃取隐私 |
31 | 文件类型欺骗 |
32 | 修改文件隐藏属性 |
33 | 可执行文件恶意的网络行为 |
34 | 恶意的快捷方式文件 |
35 | 可疑的宏文件 |
200 | 病毒 |
201 | 间谍木马 |
202 | 蠕虫 |
203 | 后门 |
204 | 勒索软件 |
205 | downloader |
206 | 广告 |
207 | 脚本病毒 |
208 | 恶意漏洞文件 |
209 | 病毒生成器 |
210 | 加壳软件 |
211 | 启发式行为 |
212 | 风险工具 |
213 | 网络钓鱼 |
214 | 宏病毒 |
215 | 其他威胁类型 |