FireEye Trellix 扫描及查找威胁

Trellix IVX 如何运作

IVX (Intelligent Virtual Execution) 是一种无特征码的动态分析引擎，可捕获 和确认零日攻击和有针对性的 APT 攻击。 IVX 通过在专有虚拟机管理程序中 引爆可疑文件、Web 对象、 URL和电子邮件附件，识别规避传统基于特征码 的防御的攻击，该虚拟机管理程序可同时执行 200 多次。 IVX 使分析师能够 直观地了解恶意软件在虚像中的行为方式，并与恶意软件进行安全交互，以 测试对策的有效性，从而加速事件响应。

Trellix IVX可在本地部署或作为云原 生服务使用，提供经过验证的灵活 分析功能。它能够快速检查和判定 潜在的恶意内容。SOC分析师可以手动提交对象以供检查和洞察，或 者将IVX与企业构建或购买的应用程 序无缝集成，实现持续且无摩擦的保护。

主要技术特点：

主动分析未知代码和可疑 Web 对象

对象针对各种浏览器、插件、应用 程序和操作环境执行。无特征码 IVX 引擎可识别零日漏洞的利用 情况，确认正在进行的Web攻击，阻止通过多种协议进行的回调和后续恶意软件下载。

在虚拟环境中引爆所有电子邮件附件

安全且准确地分析所有附件，以识别零日漏洞。除了基于特征码和信誉系统，IVX引擎还可以检测 以前合规的文件是否已被武器化、是否通过鱼叉式网络钓鱼电子邮件发送来渗透企业防御。

分析网络文件共享上的武器化文件

IVX引擎可用于扫描与CIFS兼容的文件共享，以检测和阻止嵌入在武器化的 Microsoft Office 文 件、图像、PDF、Flash或 ZIP/RAR/TNEF档案中的高级针对性攻击。

检查 URL

包括：嵌入在电子邮件、MS 365文 档、PDF和存档文件中的URL；通 过URL（包括FTP链接）下载的文 件；混淆、欺骗、缩短和动态重定向的URL；凭据式网络钓鱼和仿 冒URL。

专有虚拟化技术

IVX引擎分析并确认真正存在的零日恶意软件，例如特洛伊木马、 针对性攻击、Bots攻击、虚拟机感 知式恶意软件和高级持续性威胁 (APT)。

多阶段检查、拦截引擎

判定已知攻击和零日攻击，同时消除误报。多阶段的检查过程将 虚拟化和网络安全结合起来，准 确拦截用于渗透网络、窃取资源和敏感数据的高级恶意软件。

定制的虚拟机管理程序

内置专门为恶意软件分析而设计的对策。此虚拟机管理程序可实 现峰值性能，能够检测许多复杂 恶意软件对象所使用的沙盒感知和规避策略。

加速调查和响应

IVX可在本地部署或作为云原生 服务使用，快速扫描提交的内容，识别恶意软件。

保护协作平台和企业应用程序

IVX 与 AWS 、 Azure 等云服务、Slack、MS 365 和 Google Workspace 等协作平 台以及 Dropbox 、 Box 、 OneDrive 等云存储工具集成。 它还与许多企业应用程序集成，例如 Salesforce 、 Webex 、 Slack 、 Microsoft Teams 等。您可以通过 Trellix 易于使用的 API ，轻松地与尚无插件的应用程序集成。

灵活的部署选项

Trellix 的云原生 IVX 可通过 Trellix 渠道或直接通过 AWS Marketplace 获取。如果您在本地部署，Trellix 也提供了选项：