第11章 ShareTech Sandstorm

現今釣魚郵件盛行,若以傳統的病毒過濾方式只能把惡意的程式過濾出來,對於新型態的釣魚郵件或郵件中有釣魚、木馬網址無法在第一時間阻擋,
而 ShareTech 的 Sandstorm 機制就能阻擋這類的郵件。
Sandstorm 將自動比對郵件中是否夾帶惡意的木馬、釣魚執行檔或是網址,當有比對到類似的郵件,就會主動將郵件阻擋,
並且 Sandstorm 的資料會自動更新,以維持阻擋力。

11-1、基本設定

首先會顯示最後更新的時間,系統會每天自動檢查更新一次,點選【檢查更新】可執行立即更新。
image259
• 惡意程式過濾
惡意程式過濾設定

Fig. 159 惡意程式過濾設定

【惡意程式過濾功能】:是否啟用惡意程式過濾功能,確保郵件安全。
【版本】:Sandstorm 的資料庫會每天自動更新,並將資料庫存在本機,萬一跟更新伺服器斷線,此功能仍然有效。
【不分析的附件副檔名】:若確定這些附件副檔名的檔案不會有釣魚或是惡意 URL 時,可讓這類型檔案不進入 sandstorm 的資料庫比對。
【要過濾的風險等級】:Sandstorm 會將資料庫中的釣魚郵件根據風險等級分成高、中、低 3 類,由管理者決定要套用哪些風險等級。
【分析附件檔案的最大容量】:當附件超過設定值就不會進入 sandstorm 的資料庫比對。
數值需大於 0 KB,建議數值為 1024 KB。當分析檔案越大,所耗用的系統效能越重。
【分析檔案與自訂加入】:管理者可以將疑似釣魚、木馬的檔案上傳到 sandstorm 的資料庫比對,系統會告知比對結果。
• 惡意程式處理方式
當 Sandstorm 比對到惡意郵件後,該如何處理。
惡意程式處理方式設定

Fig. 160 惡意程式處理方式設定

【符合過濾的郵件不歸檔】:啟用後,符合過濾的郵件就不會被歸檔。
【符合過濾的郵件轉到隔離區】:Sandstorm 比對到惡意郵件後,將郵件轉到隔離區,原來的收件者不會收到此郵件和通知信。
【符合過濾的附件副檔名改為】:Sandstorm 比對到惡意郵件後,將附件檔名改為指定文字,並將郵件傳給收件者。
【清除符合過濾的附件內容】:Sandstorm 比對到惡意郵件後,將附件檔案清除再將郵件傳給收件者。
【符合過濾的主旨提示文字】:Sandstorm 比對到惡意郵件後,發一封通知信給原來收件者,郵件的主旨如設定值,例如:This mail has Malware。
• URL 過濾
URL 過濾設定

Fig. 161 URL 過濾設定

【URL 過濾功能】:啟用後,郵件會進行 URL 過濾分析。
【版本】:目前的版本,系統會每天自動檢查更新一次。
【要過濾的風險等級】:要過濾的惡意程式風險等級,分為低、中、高風險。
【分析連結與自訂加入】:可將有問題的 URL 填入分析,比對資料庫。

Note

IP/網域 過濾的設定和 URL 過濾相同

• URL/IP/網域 處理方式
URL 處理方式設定

Fig. 162 URL 處理方式設定

【符合過濾的郵件不歸檔】:啟用後,符合過濾的郵件就不會被歸檔。
【符合過濾的處理方式】:針對符合 URL 過濾的郵件,設定其處理方式。
· 轉到隔離區:直接移至 Sandstorm 隔離區。
· 增加垃圾郵件分數:符合過濾的郵件增加垃圾郵件分數。
· 依據「垃圾郵件 > 基本設定」:根據定義的「更名/隔離/刪除」的分數百分比增加垃圾郵件分數。

11-2、Sandstorm 紀錄

所有符合 Sandstorm 比對過濾的郵件都會被記錄下來,可在此查看所有紀錄,並可依條件搜尋。
URL 處理方式設定

Fig. 163 URL 處理方式設定