Falcon Sandbox
Integrationsversion: 15.0
Falcon Sandbox für die Verwendung mit Google Security Operations konfigurieren
Anmeldedaten
Sie finden Ihren API-Schlüssel auf der Profilseite auf dem Tab „API-Schlüssel“. Er wird generiert, wenn Sie auf die Schaltfläche API-Schlüssel erstellen klicken.
Netzwerk
| Funktion | Standardport | Richtung | Protokoll |
|---|---|---|---|
| API | Mehrfachwerte | Ausgehend | apikey |
Falcon Sandbox-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Instanzname | String | – | Nein | Name der Instanz, für die Sie die Integration konfigurieren möchten. |
| Beschreibung | String | – | Nein | Beschreibung der Instanz. |
| API-Stamm | String | https://www.hybrid-analysis.com/docs/api/v2 |
Ja | Adresse der CrowdStrike Falcon Sandbox-Instanz. |
| API-Schlüssel | String | – | Ja | Ein API-Schlüssel, der in der CrowdStrike Falcon Sandbox-Instanz generiert wurde. |
| Grenzwert | Ganzzahl | 50,0 | Ja | – |
| Remote ausführen | Kästchen | Deaktiviert | Nein | Aktivieren Sie das Feld, um die konfigurierte Integration remote auszuführen. Nachdem Sie das Kästchen angekreuzt haben, wird die Option zum Auswählen des Remote-Nutzers (Kundenservicemitarbeiters) angezeigt. |
Aktionen
Datei analysieren
Eine Datei zur Analyse einreichen und den Bericht abrufen
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfad | String | – | Ja | Der vollständige Pfad der zu analysierenden Datei. |
| Umgebung | String | – | Ja | Umgebungs-ID. Verfügbare Umgebungs-IDs: 300: „Linux (Ubuntu 16.04, 64 Bit)“, 200: „Android Static Analysis“, 120: „Windows 7 64 Bit“, 110: „Windows 7 32 Bit (HWP Support)“, 100: „Windows 7 32 Bit“ |
| Bericht einbeziehen | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, ruft die Aktion den Bericht zum Anhang ab. Hinweis: Für diese Funktion ist ein Premium-Schlüssel erforderlich. |
Anwendungsfälle
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| max_threat_score | – | – |
JSON-Ergebnis
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Datei-URL analysieren
Eine Datei per URL zur Analyse einreichen und Bericht abrufen
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Datei-URL | String | – | Ja | Die URL der zu analysierenden Datei. Beispiel: http://beispiel.de/beispiel/Beispieldokument.zip |
| Umgebung | String | – | Ja | Umgebungs-ID. Verfügbare Umgebungs-IDs: 300: „Linux (Ubuntu 16.04, 64 Bit)“, 200: „Android Static Analysis“, 120: „Windows 7 64 Bit“, 110: „Windows 7 32 Bit (HWP Support)“, 100: „Windows 7 32 Bit“ |
Anwendungsfälle
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| max_threat_score | – | – |
JSON-Ergebnis
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Hash-Scanbericht abrufen
Hybridanalyseberichte abrufen und die Dateihash-Entitäten anreichern.
Parameter
–
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| environment_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| total_processes | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| threat_level | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Größe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| job_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| target_url | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| interessant | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| error_type | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| state | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| environment_description | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| mitre_attacks | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zertifikate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| hostet | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha512 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| compromised_hosts | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| extracted_files | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| analysis_start_time | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| imphash | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| total_network_connections | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| av_detect | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| total_signatures | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| submit_name | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| ssdeep | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| error_origin | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Verfahren | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| shal | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| url_analysis | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Typ | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| file_metadata | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| vx_family | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| threat_score | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Einstufung | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Domains | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| type_short | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| max_threat_score | – | – |
JSON-Ergebnis
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
Ping
Verbindung zu CrowdStrike Falcon Sandbox testen
Parameter
–
Anwendungsfälle
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Erfolgreich | Wahr/falsch | success:False |
JSON-Ergebnis
–
Suchen
Suchen Sie in den Falcon-Datenbanken nach vorhandenen Scanberichten und Informationen zu Dateien und Date-URLs.
Parameter
| Parameter | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateiname | String | – | Nein | Beispiel: beispiel.exe. |
| Dateityp | String | – | Nein | Beispiel: docx. |
| Beschreibung des Dateityps | String | – | Nein | Beispiel: PE32-Datei |
| Urteil | String | – | Nein | Beispiel: 1 (1=auf der Whitelist, 2=kein Ergebnis, 3=keine spezifische Bedrohung, 4=verdächtig, 5=schädlich). |
| AV-Multiscan-Bereich | String | – | Nein | Beispiel: 50–70 (min. 0, max. 100). |
| AV-Familien-Teilstring | String | – | Nein | Beispiel: Agent.AD, nemucod. |
| Hashtag | String | – | Nein | Beispiel: Ransomware |
| Port | String | – | Nein | Beispiel: 8080 |
| Host | String | – | Nein | Beispiel: 192.0.2.1 |
| Domain | String | – | Nein | Beispiel: checkip.dyndns.org |
| HTTP-Anfrage-Substring | String | – | Nein | Beispiel: google |
| Ähnliche Beispiele | String | – | Nein | Beispiel: \<sha256> |
| Beispielkontext | String | – | Nein | Beispiel: \<sha256> |
Anwendungsfälle
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| Ergebnisse | – | – |
Datei einreichen
Dateien zur Analyse einreichen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Dateipfad | String | – | Ja | Der vollständige Pfad der zu analysierenden Datei. Bei mehreren Werten verwenden Sie durch Kommas getrennte Werte. |
| Umgebung | Drop-down | Linux | Ja | Verfügbare Umgebungen: 300: „Linux (Ubuntu 16.04, 64 Bit)“, 200: „Android Static Analysis“, 120: „Windows 7 64 Bit“, 110: „Windows 7 32 Bit (HWP Support)“, 100: „Windows 7 32 Bit“. Die Standardeinstellung sollte „Linux (Ubuntu 16.04, 64 Bit)“ sein. |
Anwendungsfälle
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| job_id | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* |
|
Allgemein |
Auf Job warten und Bericht abrufen
Warten Sie, bis ein Scanvorgang abgeschlossen ist, und rufen Sie den Scanbericht ab.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Job-ID | String | – | Wahr | Job-IDs. Bei mehreren Werten verwenden Sie durch Kommas getrennte Werte (Werte sollten als Platzhalter aus der zuvor ausgeführten Aktion „Datei senden“ übergeben werden). Außerdem kann die Job-ID manuell angegeben werden. |
Anwendungsfälle
–
Ausführen am
Die Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* |
|
Allgemein |
| Anhänge |
|
URL scannen
URL oder Domain für die Analyse scannen.
Parameter
| Anzeigename des Parameters | Typ | Ist obligatorisch | Beschreibung |
|---|---|---|---|
| Grenzwert | Ganzzahl | Ja | Markiert die Entität als verdächtig, wenn die Anzahl der AV-Erkennungen dem angegebenen Schwellenwert entspricht oder darüber liegt. |
| Name der Umgebung | DDL | Ja | Windows 7 32-Bit Windows 7 32 Bit (HWP-Unterstützung) |
Anwendungsfälle
Ein Analyst kann Scan-URLs oder ‑Domänendateien zur Analyse abrufen.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- URL
- Hostname
Aktionsergebnisse
Entitätsanreicherung
Wenn scan_info_res.get('av_detect') > Schwellenwert (Parameter), markieren Sie das Element als verdächtig.
Statistiken
Fügen Sie einen Insight mit der folgenden Meldung hinzu: „CrowdStrike Falcon Sandbox – Entity was marked as malicious by av detection score {av_detect}.“ Grenzwert auf „– {threshold}“ festgelegt.
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* |
|
Allgemein |
| Anhänge |
|
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten