Наверное,не работал с ними

SOAR - это общее название класса продуктов по автоматизации реагирования на инциденты. По идее must have в каждом SOC

К сожалению мир не идеален...

И чудес не бывает )

Если файл был обнаружен сразу, то это уже не песочница, а антивирус, в котором сигнатура или хеш уже откуда-то были. Песочнице всегда надо "подумать".

Антивирусу тоже иногда надо время на подумать (когда он отсылает файл для проверки в облако) и, пока он думает, что-то может пойти не так.

Если ваш движок отправляет файл на проверку из вашего устройства, то это песочница. В ответ песочница присылает сигнатуру или хеш этого файла, чтобы второй раз не проверять или второй раз не отправлять это же файл в облако.

Ты только что изобрёл ретроспекцию и ретроспективную безопасность.

То это статический анализ (песочница - динамический). Если мы имеем дело с известным вредоносом или его можно отдетектить по известным признакам - нет необходимости отдавать его в песочку и вердикт можно вынести сразу.

Пожалуйста, не используй для данного сценария термин «песочница» 😇

Как ты это называешь? )

Я - никак, для этого есть устоявшийся термин - статический анализ (если ты передаёшь хэш на анализ или получаешь диспозицию, или проверяешь структуру объекта без его запуска на исполнение)

Песочница - это динамический анализ, с исполнением кода

Некоторые вендоры это совмещают в одном продукте, а потом путаются сами и путают других, называя "песочницей".

Да, именно про SMTP, потому как была уверенность, что в обозначенном кейсе речь идёт, когда пользователь забирает почту по POP3 со своего почтового сервера (на который в свою очередь письмо пришло по SMTP и соответственно песочница уже его проверила). Если пользователь получает письмо по POP3 со стороннего почтового сервера, то... а вот и нехрен открывать POP3 для пользаков )

то нужно делать поточный анализ (если нет POP3S, ну или вы знаете ключи и можете его раскрыть), и/либо хостовой анализ.

Поточный анализ (на протоколах HTTP, POP3, FTP и т.д.) и песочница вещи несовместимые с той точки зрения, что с этими протоколами нет времени на подумать, а думать (анализировать) песочница может до 20 мин. по одному кейсу. А вот на SMTP и трафике, который только идёт на корпоративный почтовый сервер в самый раз, есть время на проверку и заморозку в карантине. Главное, чтобы было поменьше фолзов с почтовым ящиком ген.директора ) В остальных случаях реакция песочницы будет уже постфактум, когда она получает подозрительные файлы (ссылки) с пограничного МСЭ, например или с агентов на хостах.

Какой анализ?? 😳

В контексте собщения от Ruslan вероятно имелось ввиду проверка на ходу в реальном времени, когда трафик идёт уже непосредственно к пользователю (если речь про POP3), например.