Q: TI/SecOpsライセンスを持つクライアントがRecorded Future Sandboxに提出できる提出物の制限はどれくらいですか?
回答: 1企業あたり1日あたりのサンドボックス分析ジョブ/タスクの最大許容数は1,000です。
Q: Recorded Future が TI/SecOps ライセンスのユーザーから送信されたサンプルの分析から収集し、他の顧客と共有するデータ ポイントとは何ですか?
回答: データポイントの詳細は、こちらに記載されています: https://support.recordedfuture.com/hc/en-us/articles/10000318283283-Recorded-Future-Sandbox-Data-sharing
Q: 分析されたファイルの Recorded Future 保持ポリシーとは何ですか?
回答: ファイルは契約の終了まで、またはユーザーが自分で削除するか Recorded Future に削除を依頼するまで保持されます。サンドボックス サーバーに保存されたファイルは他の場所と共有されることはありません。
Q: Recorded Future の担当者はファイルにアクセスできますか?
回答:はい。当社のシステム管理者は、ファイル/分析結果を保持するサーバーにアクセスできますが、実行できる操作についてはポリシーが定められています。Recorded Future の限定された担当者がアクセスできる唯一の他のケースは、クライアントから送信されたサポート チケットを処理する場合です。
Q: サンドボックスの API アクセスは無料ですか?
回答: Threat IntelligenceまたはSecOpsモジュールを購入すると、サンドボックス API アクセスが含まれます。
Q: API にアクセスするにはどうすればよいですか?
回答: キーは https://sandbox.recordedfuture.com/account の「 API アクセス 」の下にあります。詳細な手順については、このサポート記事をご覧ください。
Q: 企業が 1 日あたりのマルウェア サンドボックス送信数の制限である 1,000 件に達した場合はどうなりますか?
回答: 1 日あたりの割り当て量は、実際には月ごとに 10% の超過分を上限として月単位で適用されます。使用量が月間超過許容量を超えない限り、サービスはブロックされません。
Q: ファイル、レジストリ、プロセス タブのエントリはどのように (どのような順序で) 表示されますか?
回答: すべてのファイルは時系列順に表示されます。実際のタイムラインを知りたい場合は、それらのログの API バージョンを使用してタイムスタンプにアクセスできる必要があります。
Q: パスワードで保護されたファイルを分析のために送信できますか?
回答: はい。API 経由でパスワードで保護されたファイルを送信する手順については、この記事を参照してください。
Q: サンドボックスにはファイルサイズの制限がありますか?
答え: 3GB。アーカイブ用に1GB
Q: サンドボックスはどこでホストされていますか?
回答: サンドボックスは現在 EU でホストされています。米国版と APJ (シンガポール) 版が利用可能です。地域を変更するには、 support@recordedfuture.comにリクエストしてください。
Q: サンドボックスは米国でホストできますか?
回答: はい、 support@recordedfuture.comに地域変更をリクエストしてください。
Q: サンドボックスインスタンスがどのリージョンでホストされているかを知るにはどうすればいいですか?
回答: エンタープライズ サンドボックスのお客様の場合は、ドメイン名を参照してください。secops / TI のお客様の場合は、エンタープライズ管理を参照してください。
Q: 特定のファイルとそのコンテンツへのアクセスを特定の個人に指定できますか?もしそうなら、このイベント履歴はどのくらいの期間保持されますか?
回答: はい。ファイルは、契約の終了時まで、またはユーザーが自分で削除するか Recorded Future に削除を依頼するまで保持されます。
Q: Sandbox 環境は使用ごとにスナップショットされ、フラッシュされますか?
回答: はい。使用される VM は各分析後に完全に破棄され、保存されたスナップショットから再起動されます。
Q: Windows VM にはどのような Office ソフトウェアがプリインストールされていますか?
答え:
-
Windows 10: Word、Excel、PowerPoint を搭載した Office 2019
-
Windows 7: Office 2010(Access、Excel、InfoPath Designer/Filler、OneNote、Outlook、PowerPoint、Publisher、SharePoint、Word 搭載)
Q: VM 環境の実行時間を延長できる時間の上限はどれくらいですか (現在の最大実行時間範囲 30 分を超える場合)?
回答: Extend analysisオプションは 15 回使用できるため、合計はタイムアウト + 15 分となり、最大 45 分になります。
Q: VM 環境をアップグレードするためにトリアージ チームに必要なダウンタイムは通常どれくらいですか?
回答: 関連するダウンタイムはありません。更新は、サービスに顕著な影響が出ないように実行されます。
Q: 実行中の VM からプロセス ツリー ダンプを抽出できますか?
回答: データは分析が完了した後にのみ利用可能になります
Q: レポート機能の削除を管理者ユーザーのみに制限することはできますか?
回答: これは Enterprise バージョンでのデフォルトの動作ですが、Threat and SecOps Intelligence に含まれているサンドボックスでは使用できません。
Q: 悪意のあるファイル (PDF など) から URL が抽出されると、Recorded Future は自動的にその URL を爆発させますか?
回答: いいえ、それらの URL は自動的には爆発しません。自動的に開始される実行はすべて追跡しますが、自分でトリガーすることはありません。
Q: エンタープライズ ユーザーはカスタム VM 環境の作成をリクエストできますか?
回答: いいえ、現時点ではカスタム VM イメージはサポートされていません。
Q: 組織内のすべてのサンプルは、その組織内のサンドボックス アカウントを持つすべてのユーザーに表示されますか?
回答: デフォルトの Threat/SecOps Intelligence Sandbox の場合、答えは「はい」です。プライベート エンタープライズ サンドボックスには、ユーザー アクセス制限のための追加オプションがあります。
Q: MacOS 管理者パスワードは何ですか?
回答: パスワードは root です。
Q: IP / リージョンを指定するオプションはありますか?
回答: 現在はありませんが、このリクエストは記録されています。
Q: メール全体をサンドボックスに送信して開くことはできますか?
回答: 電子メールのファイルタイプは解凍可能なアーカイブとしてサポートされていますが、マシン上で電子メールを操作するオプションはありません (つまり、URL と添付ファイルを検出して抽出しますが、電子メール自体は開きません)。
Q: 同じサンプルでも、日によって判定が異なる場合があるのはなぜですか?
回答: サンドボックスでは、サンプルの署名ではなく、不正な動作のみがスコア付けされます。ある日に悪い行動が検出され、次の日には検出されなかった場合、スコアにそれが反映されます。たとえば、脅威アクターが対策を講じている可能性があります (例: サンドボックス IP がインフラストラクチャに接続できないようにブロックする)。サンプル内に設定されている C2 が変更されたために悪意のあるインフラストラクチャが変更された可能性があります。または、サンプルがデトネーション用に適切に設定されていなかった可能性があります (例: Windows 10 用に再構成されていない)。
Q: 各サンドボックス環境の URL は何ですか?
答え:
公共トリアージ = tria.ge
EUホストサンドボックス = sandbox.recordedfuture.com
米国ホストサンドボックス = us-sandbox.recordedfuture.com
APJホストサンドボックス = apj-sandbox.recordedfuture.com