Soumission de fichiers au sandbox

Dans EDR, le sandboxing vous permet de soumettre un fichier suspect à des fins d'analyse pour déterminer s'il est malveillant ou sûr.
Dans Symantec Endpoint Detection and Response, les méthodes suivantes permettent de soumettre des fichiers au sandbox à des fins d'analyse approfondie :
  • Soumission automatique des fichiers au sandbox
  • Soumission manuelle des fichiers au sandbox
Vous pouvez utiliser cette fonction uniquement avec SEP 14.3 et versions ultérieures.
Soumission automatique des fichiers au sandbox
Symantec Endpoint Detection and Response soumet automatiquement les fichiers suspects au sandbox à des fins d'évaluation. Si le résultat du sandbox indique que le fichier est malveillant, un événement avec l'ID 8031 est créé.
Vous pouvez afficher tous les événements détectés comme suspects par le sandbox à l'aide du
filtre rapide
à partir de la page
Examiner > Evénements de sécurité > Rechercher
.
Le nombre de fichiers automatiquement soumis au sandbox à des fins d'évaluation n'est pas limité.
Soumission manuelle des fichiers au sandbox
Si vous détectez un fichier suspect dans votre environnement, vous pouvez également le soumettre manuellement au sandbox à des fins d'analyse.
La soumission manuelle de fichiers au sandbox fait l'objet des restrictions suivantes :
  • 100 soumissions maximum sont autorisées par jour pour le domaine d'un client.
  • Si les résultats du sandbox sont disponibles pour un fichier, vous ne pouvez pas le soumettre au sandbox pendant les 7 prochains jours.
  • La taille maximum de fichier à soumettre au sandbox est de 20 Mo.
La procédure suivante répertorie les étapes à suivre pour soumettre un fichier au sandbox.
  1. Connectez-vous à la console Symantec Endpoint Security et accédez au menu
    Examiner
    .
  2. Recherchez et filtrez le fichier suspect à l'aide des filtres de la page
    Examiner
    .
  3. Sélectionnez le menu
    Action
    .
  4. Dans le menu
    Action
    , sélectionnez
    Soumettre au sandbox
    .
  5. Cliquez sur
    Suivant
    .
  6. Sur la page
    Soumettre au sandbox
    , sélectionnez le type de fichier à soumettre au sandbox à des fins d'analyse. Vous pouvez indiquer s'il s'agit d'un fichier exécutable portable ou d'un fichier exécutable non portable.S'il s'agit d'un fichier exécutable non portable, fournissez les informations d'authentification du terminal ou de l'administrateur de domaine.
  7. Cliquez sur
    Submit
    (Envoyer).
Lorsqu'un fichier est soumis au sandbox à des fins d'analyse, un incident correspondant est créé. Pour afficher les détails d'un incident, sélectionnez le menu
Incidents et alertes
.