Управление карантином
Когда PRX-SD обнаруживает угрозу, он может изолировать файл в зашифрованном хранилище карантина. Файлы в карантине шифруются с помощью AES-256-GCM, переименовываются и перемещаются в защищённый каталог, откуда их нельзя случайно выполнить. Все исходные метаданные сохраняются для криминалистического анализа.
Принцип работы карантина
Обнаружена угроза
1. Генерация случайного ключа AES-256-GCM
2. Шифрование содержимого файла
3. Сохранение зашифрованного блоба в vault.bin
4. Сохранение метаданных (исходный путь, хеш, информация об обнаружении) в JSON
5. Удаление исходного файла с диска
6. Журналирование события карантинаХранилище карантина хранится в ~/.prx-sd/quarantine/:
~/.prx-sd/quarantine/
vault.bin # Зашифрованное хранилище файлов (только дополнение)
index.json # Индекс карантина с метаданными
entries/
a1b2c3d4.json # Метаданные каждой записи
e5f6g7h8.jsonКаждая запись карантина содержит:
{
"id": "a1b2c3d4",
"original_path": "/tmp/payload.exe",
"sha256": "e3b0c44298fc1c149afbf4c8996fb924...",
"file_size": 245760,
"detection": {
"engine": "yara",
"rule": "Win_Trojan_AgentTesla",
"severity": "malicious"
},
"quarantined_at": "2026-03-21T10:15:32Z",
"vault_offset": 1048576,
"vault_length": 245792
}TIP
Хранилище карантина использует аутентифицированное шифрование (AES-256-GCM). Это предотвращает как случайное выполнение вредоносных программ из карантина, так и подделку улик.
Список файлов в карантине
sd quarantine list [OPTIONS]| Флаг | Сокр. | По умолчанию | Описание |
|---|---|---|---|
--json | false | Вывод в формате JSON | |
--sort | -s | date | Сортировка по: date, name, size, severity |
--filter | -f | Фильтр по серьёзности: malicious, suspicious | |
--limit | -n | все | Максимальное количество отображаемых записей |
Пример
sd quarantine listQuarantine Vault (4 entries, 1.2 MB)
ID Date Size Severity Detection Original Path
a1b2c3d4 2026-03-21 10:15:32 240 KB malicious Win_Trojan_AgentTesla /tmp/payload.exe
e5f6g7h8 2026-03-20 14:22:01 512 KB malicious Ransom_LockBit3 /home/user/doc.pdf.lockbit
c9d0e1f2 2026-03-19 09:45:18 32 KB suspicious Suspicious_Script /var/www/upload/shell.php
b3a4c5d6 2026-03-18 16:30:55 384 KB malicious SHA256_Match /tmp/dropper.binВосстановление файлов
Восстановление файла из карантина в исходное расположение или указанный путь:
sd quarantine restore <ID> [OPTIONS]| Флаг | Сокр. | По умолчанию | Описание |
|---|---|---|---|
--to | -t | исходный путь | Восстановить по другому расположению |
--force | -f | false | Перезаписать, если назначение существует |
WARNING
Восстановление файла из карантина возвращает заведомо вредоносный или подозрительный файл на диск. Восстанавливайте файлы только если вы подтвердили их как ложные срабатывания или нуждаетесь в них для анализа в изолированной среде.
Примеры
# Восстановить в исходное расположение
sd quarantine restore a1b2c3d4
# Восстановить в конкретный каталог для анализа
sd quarantine restore a1b2c3d4 --to /tmp/analysis/
# Принудительная перезапись при существовании файла в назначении
sd quarantine restore a1b2c3d4 --to /tmp/analysis/ --forceУдаление файлов из карантина
Безвозвратное удаление записей карантина:
# Удалить одну запись
sd quarantine delete <ID>
# Удалить все записи
sd quarantine delete-all
# Удалить записи старше 30 дней
sd quarantine delete --older-than 30d
# Удалить все записи с конкретной серьёзностью
sd quarantine delete --filter maliciousПри удалении зашифрованные данные перезаписываются нулями перед удалением из хранилища.
WARNING
Удаление необратимо. Зашифрованные данные файла и метаданные невосстановимы после удаления. Рассмотрите экспорт записей для архивирования перед удалением.
Статистика карантина
Просмотр агрегированной статистики хранилища карантина:
sd quarantine statsQuarantine Statistics
Total entries: 47
Total size: 28.4 MB (encrypted)
Oldest entry: 2026-02-15
Newest entry: 2026-03-21
By severity:
Malicious: 31 (65.9%)
Suspicious: 16 (34.1%)
By detection engine:
YARA rules: 22 (46.8%)
Hash match: 15 (31.9%)
Heuristic: 7 (14.9%)
Ransomware: 3 (6.4%)
Top detections:
Win_Trojan_Agent 8 entries
Ransom_LockBit3 5 entries
SHA256_Match 5 entries
Suspicious_Script 4 entriesАвтоматический карантин
Включение автоматического карантина при сканировании или мониторинге:
# Сканирование с автокарантином
sd scan /tmp --auto-quarantine
# Мониторинг с автокарантином
sd monitor --auto-quarantine /home /tmp
# Демон с автокарантином
sd daemon start --auto-quarantineИли установите как политику по умолчанию:
[policy]
on_malicious = "quarantine"
on_suspicious = "report"Экспорт данных карантина
Экспорт метаданных карантина для отчётности или интеграции с SIEM:
# Экспортировать все метаданные в JSON
sd quarantine list --json > quarantine_report.json
# Экспортировать статистику в JSON
sd quarantine stats --json > quarantine_stats.jsonСледующие шаги
- Реагирование на угрозы — настройка политик реагирования помимо карантина
- Мониторинг файлов — защита в реальном времени с автокарантином
- Вебхук-оповещения — получение уведомлений при помещении файлов в карантин
- Разведка угроз — обзор базы данных сигнатур