Spamfilters van SonicWALL, de Email Security Appliances doen hun werk prima, maar zoals altijd is er ruimte voor verbetering !
Zo heeft SonicWALL sinds SonicOS 6.2.6.x de feature Capture ATP ingebouwd.
Wat is Capture ATP ?
Capture ATP (Advanced Threat Protection) is een sandbox waarin attachments en URL’s getest worden die in mailtjes zitten die door de ESA gaan.
Capture ATP is eigenlijk een service die draait op de SonicWALL ESA die in verbinding staat met de SonicWALL ATP Cloud welke als sandbox en aanvullende bescherming dient.
Zie het zo :
Een e-mail arriveert op de ESA en daar gaat het eerst door de standaard aanwezige filters/scanners. Daarna komt Capture ATP in beeld. De e-mail wordt uit elkaar getrokken, URL’s en attachments worden er uit gehaald en naar de sandbox (cloud) gestuurd.
Hier gaan de attachments door tientallen virusscanners, wordt er gecontroleerd op malicious code en URL’s worden door een database gehaald en getest. het testen van URL’s en attachments vindt plaats op Windows VM’s welke detonators genoemd worden. Detonator omdat de VM mogelijk iets tot “ontploffing” kan brengen. Een attachment wordt opgestart en er wordt gemonitored wat er gebeurd op de VM. Wordt er malicious code uitgevoerd, (systeem) bestanden aangepast etc. dan wordt het attachment als gevaarlijk geflagged.
Het zelfde gebeurd met de URL’s, deze worden dus op de VM uitgevoerd en er wordt dan gemonitored wat er dan gebeurd. Ook hier kan een URL dus als gevaarlijk worden geflagged.
Na het sandboxen wordt het resultaat teruggestuurd naar de SonicWALL ESA welke de mail dan verder verwerkt alszijnde spam of legitieme mail.
Capture ATP Activeren
Capture ATP activeren bestaat uit het aanschaffen van de licentie hiervoor en het activeren van de service op de ESA. Meer is het in de basis niet. Je kunt eventueel uitzonderingen toevoegen zoals maximale grootte van attachments of filters toevoegen van extensies die je niet gescand wilt hebben.
Capture ATP is een aanvullende dienst en brengt extra kosten met zich mee. Deze kosten vallen op zich best heel erg mee. Als je geïnfecteerd raakt ben je al gauw meer geld kwijt aan het opschonen en eventuele schade die je oploopt.
Wanneer de dienst geactiveerd is, zal het meteen werken.
Monitoren van Capture ATP
Je kunt ATP op een paar manieren monitoren :
Algemeen overzicht met statistieken
Gedetailleerder :
Een overzicht van de afgelopen 30 dagen en hoeveel procent malicious files zijn.
Voeg een filter toe waar bijvoorbeeld enkel bestanden worden getoond die malicious zijn.
Je kunt op de bestanden klikken waarna je een overzicht krijgt wat er allemaal gedetecteerd is.
Zelfs een screenshot van de VM is aanwezig waar je kunt zien wat er weergegeven werd toen een malicious bestand werd uitgevoerd.
Capture ATP Conclusie
Capture ATP is een zeer welkome aanvulling op de toch al prima diensten van de Sonicwall ESA.
Het doet zijn werk zeer goed en bij ons hebben we nu al erg goede resultaten gezien.
Spam detectie is merkbaar verbeterd en ook geinfecteerde bijlages worden nu beter en sneller tegengehouden i.p.v. dat de virusscanner op de werkplek dat moet doen.
Makkelijk in te stellen, geen omkijken naar en zeer goede resultaten…helemaal TOP !
Meer info ? Klik hier voor de officiële website