Запуск анализа веб-адресов

Анализ веб-адресов доступен только в том случае, если установлена хотя бы одна среда выполнения Windows.

Перед началом работы в Kaspersky Research Sandbox необходимо указать веб-адрес и (если требуется) выбрать дополнительные настройки.

Для просмотра веб-адреса в Kaspersky Research Sandbox выполните следующие действия.

  1. На странице Sandbox решения Kaspersky Research Sandbox на вкладке Browse URL введите нужный веб-адрес в поле URL.
  2. В раскрывающемся списке Browsing environment выберите операционную систему, которую требуется использовать в качестве среды выполнения.

    В раскрывающемся списке доступны все установленные среды выполнения. Если вы успешно развернули пользовательские среды выполнения, они также отображаются в списке доступных сред в разделе Custom environments.

    Для анализа FTP-ссылок рекомендуется использовать образы Microsoft Windows 7. Если вы хотите использовать образ Microsoft Windows 10, в процессе настройки образа вам необходимо будет установить дополнительное программное обеспечение, обрабатывающее FTP-ссылки.

  3. В поле Browsing time (sec) укажите время выполнения (в секундах) с помощью ползунка или введите необходимое число.

    Можно указать время выполнения от 30 до 1800 секунд (30 минут). По умолчанию выбрано значение Auto (1800 секунд при использовании режима VNC и 100 секунд без VNC).

    Веб-адрес будет просматриваться только в выбранной среде выполнения в течение указанного времени выполнения. Указанное время не включает время, необходимое для анализа объекта и отображения результатов.

  4. При необходимости нажмите Advanced options и укажите следующие параметры:
    • Если вы хотите указать имя сетевого канала, который будет использоваться для доступа в интернет, выберите один из следующих вариантов в раскрывающемся списке Internet channel:
      • Auto – выберите этот параметр, чтобы автоматически определять сетевой канал.
      • Tarpit – выберите этот параметр, чтобы эмулировать доступность сети во время просмотра веб-ресурсов без реального доступа в интернет. При выборе этого параметра эмулируется подключение виртуальной машины к любому хосту. Канал Tarpit обеспечивает упрощенную эмуляцию следующих протоколов: raw TCP/UDP, HTTP(S), ICMP, DNS.
      • Другие параметры в списке задаются во время установки Kaspersky Research Sandbox. Более подробную информацию о доступных параметрах можно получить у администратора.

      Этот параметр нельзя изменить, если сетевой канал был указан во время развертывания шаблона.

      По умолчанию выбран параметр Auto. Чтобы получить более подробную информацию о каналах, см. значения интернет-каналов.

      Список доступных регионов может содержать отдельные страны в регионах, через которые возможен доступ в интернет.

    • При необходимости нажмите кнопку Browse рядом с полем ввода Add Suricata rules file, чтобы выбрать файл, содержащий правила Suricata.

      Рекомендуемый размер файла: 5 МБ. Если размер файла правил Suricata превышает 16 МБ, рекомендуется разбить его на несколько файлов (размером до 5 МБ) и последовательно загрузить их в задачу.

    • Если требуется выполнить расшифровку HTTPS-трафика, генерируемого во время просмотра веб-адреса, установите флажок Decrypt HTTPS.

      По умолчанию этот флажок установлен.

      Расшифровка HTTPS-трафика снижает вероятность обнаружения вредоносного ПО.

    • При необходимости установите флажок VNC access. Режим VNC позволяет взаимодействовать со средой выполнения и образцами во время процесса анализа.

      Если установить флажок VNC access, станут доступны следующие параметры:

      • Launch automatically – автоматический запуск образца. По умолчанию этот флажок установлен.
      • Disable clicker – отключает утилиту, эмулирующую пользователя. По умолчанию этот флажок установлен.
    • Если вы хотите сформировать для веб-адреса отчет об отладке, который может быть использован специалистами "Лаборатории Касперского" для расследования инцидента, установите флажок Create debug report. Диагностическая информация о работе приложения собирается отдельно.

      Включение этого параметра требует дополнительного свободного места на диске для хранения результатов выполнения объектов.

      По умолчанию этот флажок снят.

  5. При необходимости нажмите кнопку Reset, чтобы восстановить значения параметров по умолчанию.

    Обратите внимание, что добавленный файл правил Suricata не будет удален. Используйте кнопку Корзина. для удаления требуемого файла правил.

  6. Нажмите кнопку Start URL analysis, чтобы начать эмуляцию процесса открытия веб-адреса.

    Запись, описывающая результаты, отображается в таблице History. Можно начинать анализировать результаты, когда процесс завершится и в поле Status отобразится Completed.

  7. При необходимости нажмите кнопку Rescan Значок "Повторить сканирование"., чтобы снова выполнить просмотр веб-адреса, и повторите шаги 2–5 этой процедуры.

    Если ранее указанный интернет-канал больше недоступен, по умолчанию выбирается параметр Auto.

    Если позднее снова открыть веб-адрес, результаты могут отличаться от показанных в таблице History для того же веб-адреса, поскольку экспертные системы "Лаборатории Касперского" обновляют информацию об объектах в режиме реального времени. Результаты зависят от ландшафта угроз.

    Страница запуска веб-адреса.

    Запуск анализа веб-адресов

В начало