Falcon Sandbox

Versión de integración: 15.0

Configurar Falcon Sandbox para que funcione con Google Security Operations

Credenciales

Para encontrar tu clave de API, ve a la pestaña Clave de API de tu página de perfil y haz clic en el botón Crear clave de API.

Red

Función Puerto predeterminado Dirección Protocolo
API Multivalores Saliente apikey

Configurar la integración de Falcon Sandbox en Google SecOps

Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.

Parámetros de integración

Usa los siguientes parámetros para configurar la integración:

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre de la instancia Cadena N/A No Nombre de la instancia para la que quiere configurar la integración.
Descripción Cadena N/A No Descripción de la instancia.
Raíz de la API Cadena https://www.hybrid-analysis.com/docs/api/v2 Dirección de la instancia de CrowdStrike Falcon Sandbox.
Clave de API Cadena N/A Una clave de API generada en la instancia de CrowdStrike Falcon Sandbox.
Umbral Entero 50,0 N/A
Ejecutar de forma remota Casilla Desmarcada No Marca el campo para ejecutar la integración configurada de forma remota. Una vez marcada, aparece la opción para seleccionar al usuario remoto (agente).

Acciones

Analizar archivo

Envía un archivo para que se analice y obtén el informe.

Parámetros

Parámetros Tipo Valor predeterminado Es obligatorio Descripción
Ruta del archivo Cadena N/A Ruta completa del archivo que se va a analizar.
Entorno Cadena N/A ID de entorno. ID de entornos disponibles: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análisis estático de Android", 120: "Windows 7 de 64 bits", 110: "Windows 7 de 32 bits (compatibilidad con HWP)", 100: "Windows 7 de 32 bits"
Incluir informe Casilla Desmarcada No Si se habilita, la acción obtendrá el informe relacionado con el archivo adjunto. Nota: Esta función requiere una clave premium.

Casos prácticos

N/A

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
max_threat_score N/A N/A
Resultado de JSON
[
    {
        "target_url": null,
        "threat_score": null,
        "environment_id": 100,
        "total_processes": 0,
        "threat_level": null,
        "size": 31261,
        "job_id": "5c4435ef7ca3e109e640b709",
        "vx_family": null,
        "interesting": false,
        "error_origin": null,
        "state": "IN_QUEUE","mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
        "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2019-01-20T02:50:01-06:00",
        "tags": [],
        "imphash": null,
        "total_network_connections": 0,
        "av_detect": null,
        "total_signatures": 0,
        "submit_name": "Proofpoint_R_Logo (1).png",
        "ssdeep": null,
        "classification_tags": [],
        "md5": "48703c5d4ea8dc2099c37ea871b640ef",
        "processes": [],
        "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
        "url_analysis": false,
        "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
        "file_metadata": null,
        "environment_description": "Windows 7 32 bit",
        "verdict": null, "domains": [],
        "error_type": null,
        "type_short": ["img"]
    }
]

Analizar URL de archivo

Envía un archivo por URL para analizarlo y obtener un informe.

Parámetros

Parámetros Tipo Valor predeterminado Es obligatorio Descripción
URL del archivo Cadena N/A La URL del archivo que se va a analizar. Ejemplo: http://example.com/example/Example-Document.zip
Entorno Cadena N/A ID de entorno. ID de entornos disponibles: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análisis estático de Android", 120: "Windows 7 de 64 bits", 110: "Windows 7 de 32 bits (compatibilidad con HWP)", 100: "Windows 7 de 32 bits"

Casos prácticos

N/A

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
max_threat_score N/A N/A
Resultado de JSON
[
    {
        "target_url": null,
        "threat_score": null,
        "environment_id": 100,
        "total_processes": 0,
        "threat_level": null,
        "size": 31261,
        "job_id": "5c4435ef7ca3e109e640b709",
        "vx_family": null,
        "interesting": false,
        "error_origin": null,
        "state": "IN_QUEUE",
        "mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
        "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2019-01-20T02:50:01-06:00",
        "tags": [],
        "imphash": null,
        "total_network_connections": 0,
        "av_detect": null,
        "total_signatures": 0,
        "submit_name": "Proofpoint_R_Logo (1).png",
        "ssdeep": null, "classification_tags": [],
        "md5": "48703c5d4ea8dc2099c37ea871b640ef",
        "processes": [],
        "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
        "url_analysis": false,
        "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
        "file_metadata": null,
        "environment_description": "Windows 7 32 bit",
        "verdict": null,
        "domains": [],
        "error_type": null,
        "type_short": ["img"]
    }
]

Obtener informe de análisis de hash

Obtiene informes de análisis híbrido y enriquece las entidades de hash de archivos.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en la entidad Filehash.

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo aplicar
environment_id Devuelve si existe en el resultado JSON.
total_processes Devuelve si existe en el resultado JSON.
threat_level Devuelve si existe en el resultado JSON.
size Devuelve si existe en el resultado JSON.
job_id Devuelve si existe en el resultado JSON.
target_url Devuelve si existe en el resultado JSON.
interesante Devuelve si existe en el resultado JSON.
error_type Devuelve si existe en el resultado JSON.
estado Devuelve si existe en el resultado JSON.
environment_description Devuelve si existe en el resultado JSON.
mitre_attacks Devuelve si existe en el resultado JSON.
certificados Devuelve si existe en el resultado JSON.
aloja a Devuelve si existe en el resultado JSON.
sha256 Devuelve si existe en el resultado JSON.
sha512 Devuelve si existe en el resultado JSON.
compromised_hosts Devuelve si existe en el resultado JSON.
extracted_files Devuelve si existe en el resultado JSON.
analysis_start_time Devuelve si existe en el resultado JSON.
etiquetas Devuelve si existe en el resultado JSON.
imphash Devuelve si existe en el resultado JSON.
total_network_connections Devuelve si existe en el resultado JSON.
av_detect Devuelve si existe en el resultado JSON.
total_signatures Devuelve si existe en el resultado JSON.
submit_name Devuelve si existe en el resultado JSON.
ssdeep Devuelve si existe en el resultado JSON.
md5 Devuelve si existe en el resultado JSON.
error_origin Devuelve si existe en el resultado JSON.
procesos Devuelve si existe en el resultado JSON.
shal Devuelve si existe en el resultado JSON.
url_analysis Devuelve si existe en el resultado JSON.
tipo Devuelve si existe en el resultado JSON.
file_metadata Devuelve si existe en el resultado JSON.
vx_family Devuelve si existe en el resultado JSON.
threat_score Devuelve si existe en el resultado JSON.
veredicto Devuelve si existe en el resultado JSON.
dominios Devuelve si existe en el resultado JSON.
type_short Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
max_threat_score N/A N/A
Resultado de JSON
[
    {
        "EntityResult":
        [{
            "classification_tags": [],
            "environment_id": 100,
            "total_processes": 0,
            "threat_level": null,
            "size": 31261,
            "job_id": "5c4435ef7ca3e109e640b709",
            "target_url": null,
            "interesting": false,
            "error_type": null,
            "state": "IN_QUEUE",
            "environment_description": "Windows 7 32 bit",
            "mitre_attcks": [],
            "certificates": [],
            "hosts": [],
            "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
            "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
            "compromised_hosts": [],
            "extracted_files": [],
            "analysis_start_time": "2019-01-20T02:50:01-06:00",
            "tags": [],
            "imphash": null,
            "total_network_connections": 0,
            "av_detect": null,
            "total_signatures": 0,
            "submit_name": "Proofpoint_R_Logo (1).png",
            "ssdeep": null,
            "md5": "48703c5d4ea8dc2099c37ea871b640ef",
            "error_origin": null,
            "processes": [],
            "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
            "url_analysis": false,
            "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
            "file_metadata": null,
            "vx_family": null,
            "threat_score": null,
            "verdict": null,
            "domains": [],
            "type_short": ["img"]
        }],
        "Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
    }
]

Ping

Prueba la conectividad con CrowdStrike Falcon Sandbox.

Parámetros

N/A

Casos prácticos

N/A

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
correcto Verdadero/Falso success:False
Resultado de JSON

N/A

Busca en las bases de datos de Falcon informes de análisis e información sobre archivos y URLs de archivos.

Parámetros

Parámetro Tipo Valor predeterminado Es obligatorio Descripción
Nombre del archivo Cadena N/A No Ejemplo: example.exe.
Tipo de archivo Cadena N/A No Ejemplo: docx.
Descripción del tipo de archivo Cadena N/A No Ejemplo: ejecutable PE32.
Veredicto Cadena N/A No Ejemplo: 1 (1=en lista blanca, 2=sin veredicto, 3=sin amenaza específica, 4=sospechoso, 5=malicioso).
Intervalo de análisis multiscan AV Cadena N/A No Por ejemplo, 50-70 (mínimo 0 y máximo 100).
Subcadena de user-agent Cadena N/A No Ejemplo: Agent.AD, nemucod.
Hashtag Cadena N/A No Ejemplo: ransomware
Puerto Cadena N/A No Ejemplo: 8080
Host Cadena N/A No Ejemplo: 192.0.2.1
Dominio Cadena N/A No Ejemplo: checkip.dyndns.org
Subcadena de solicitud HTTP Cadena N/A No Ejemplo: google
Ejemplos similares Cadena N/A No Ejemplo: \<sha256>
Contexto de ejemplo Cadena N/A No Ejemplo: \<sha256>

Casos prácticos

N/A

Fecha de ejecución

Esta acción se ejecuta en todas las entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
resultados N/A N/A

Enviar archivo

Envía los archivos para que se analicen.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
Ruta del archivo Cadena N/A Ruta completa del archivo que se va a analizar. Si quieres incluir varios, sepáralos con comas.
Entorno Desplegable Linux

Nombres de los entornos disponibles: 300: "Linux (Ubuntu 16.04, 64 bit)", 200: "Android Static Analysis", 120: "Windows 7 64 bit", 110: "Windows 7 32 bit (HWP Support)", 100: "Windows 7 32 bit".

El valor predeterminado debe ser Linux (Ubuntu 16.04, 64 bits).

Casos prácticos

N/A

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Enriquecimiento de entidades
Nombre del campo de enriquecimiento Lógica: cuándo aplicar
sha256 Devuelve si existe en el resultado JSON.
job_id Devuelve si existe en el resultado JSON.
Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "EntityResult": {
            "sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
            "job_id": "5f21459cb80c2d0a182b7967"
        },
        "Entity": "/temp/test.txt"
    }
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*
  1. Archivos correctos: envía correctamente los siguientes archivos <files path list>
  2. No hay entregas válidas: no se ha enviado ningún archivo para analizar
  3. Archivos fallidos: se ha producido un error en los siguientes archivos: <files path list>. Consulta los registros para obtener más información.
 General

Wait For Job and Fetch Report

Espera a que se complete un trabajo de análisis y obtén el informe correspondiente.

Parámetros

Nombre visible del parámetro Tipo Valor predeterminado Es obligatorio Descripción
ID de tarea Cadena N/A Verdadero

IDs de tareas. Si hay varios, use valores separados por comas (los valores deben transferirse como marcador de posición desde la acción ejecutada anteriormente: enviar archivo).

Además, el ID de trabajo se puede proporcionar manualmente.

Casos prácticos

N/A

Fecha de ejecución

La acción no se ejecuta en entidades.

Resultados de la acción

Enriquecimiento de entidades

N/A

Estadísticas

N/A

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
{
    "5f21459cb80c2d0a182b7967": {
        "environment_id": 300,
        "threat_score": 0,
        "target_url": null,
        "total_processes": 0,
        "threat_level": 3,
        "size": 26505,
        "submissions": [{
            "url": null,
            "submission_id": "5f267a34e3e6784e4f180936",
            "created_at": "2020-08-02T08:32:52+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f2146381a5f6253f266fed9",
            "created_at": "2020-07-29T09:49:44+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f21461360cae26e4719a6c9",
            "created_at": "2020-07-29T09:49:07+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f21459cb80c2d0a182b7968",
            "created_at": "2020-07-29T09:47:08+00:00",
            "filename": "Test.py"
        }],
        "job_id": "5f21459cb80c2d0a182b7967",
        "vx_family": null,
        "interesting": false,
        "error_type": null,
        "state": "SUCCESS",
        "mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
        "sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2020-07-29T09:47:17+00:00",
        "tags": [],
        "imphash": "Unknown",
        "total_network_connections": 0,
        "av_detect": null,
        "classification_tags": [],
        "submit_name": "Test.py",
        "ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
        "md5": "bfec680af21539eb0a9f349038c68220",
        "error_origin": null,
        "total_signatures": 0,
        "processes": [],
        "sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
        "url_analysis": false,
        "type": "Python script, ASCII text executable, with CRLF line terminators",
        "file_metadata": null,
        "environment_description": "Linux (Ubuntu 16.04, 64 bit)",
        "verdict": "no verdict",
        "domains": [],
        "type_short": ["script", "python"]
    }
}
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*
  1. Si la acción se ha completado correctamente en al menos uno de los IDs de trabajo proporcionados: "Successfully fetched report the following jobs: <>" ("Se ha obtenido correctamente el informe de los siguientes trabajos: <>")
  2. Si no se ha podido ejecutar la acción en al menos uno de los IDs de trabajo proporcionados: "failed to fetch report for the following jobs:
  3. Si la parcialidad de la acción se ha completado correctamente (por ejemplo, se ha obtenido el informe correctamente, pero no se ha podido obtener el informe de MISP): se ha obtenido el informe de análisis, pero no se ha podido obtener el informe de MISP de los siguientes trabajos:
  4. Si todos los trabajos fallan: imprime "Todos los trabajos han fallado" (el valor del resultado debe ser false).
 General
Archivos adjuntos
  1. Título: "Informe de Misp de CrowdStrike Falcon Sandbox # <index>"
  2. Nombre del archivo adjunto: el nombre del archivo de los resultados de get_report_by_hash
  3. Contenido del archivo adjunto: base64.b64encode(contenido del informe) de los resultados de get_report_by_hash
  4. Nota: No olvides gestionar la limitación de tamaño de la plataforma (envuélvela con try-except).

Analizar URL

Analiza la URL o el dominio.

Parámetros

Nombre visible del parámetro Tipo Es obligatorio Descripción
Umbral Entero Marca la entidad como sospechosa si el número de detecciones de antivirus es igual o superior al umbral indicado.
Nombre del entorno DDL

Windows 7 de 32 bits

Windows 7 de 32 bits (compatible con HWP)
Windows 7 de 64 bits
Análisis estático de Android
Linux (Ubuntu 16.04 de 64 bits)

Casos prácticos

Un analista puede obtener archivos de URLs o dominios para analizarlos.

Fecha de ejecución

Esta acción se ejecuta en las siguientes entidades:

  • URL
  • Nombre de host

Resultados de la acción

Enriquecimiento de entidades

Si scan_info_res.get('av_detect') > valor_umbral (parámetro), marca la entidad como sospechosa.

Estadísticas

Añade una estadística con el siguiente mensaje:CrowdStrike Falcon Sandbox - Entity was marked as malicious by av detection score {av_detect}. Umbral definido en: {threshold}.

Resultado de secuencia de comandos
Nombre del resultado de la secuencia de comandos Opciones de valor Ejemplo
is_success Verdadero/Falso is_success:False
Resultado de JSON
[
    {
        "EntityResult": {
            "environment_id": 100,
            "threat_score": 13,
            "target_url": null,
            "total_processes": 3,
            "threat_level": 0,
            "size": null,
            "submissions": [{
                "url": "http://example.com/",
                "submission_id": "5f4925f00da24603010641be",
                "created_at": "2020-08-28T15:42:40+00:00",
                "filename": null
            }, {
                "url": "http://example.com/",
                "submission_id": "5f48c011f86f36448901d054",
                "created_at": "2020-08-28T08:28:01+00:00",
                "filename": null
            }],
            "job_id": "5f1332c48161bb7d5b6c9663",
            "vx_family": "Unrated site",
            "interesting": false,
            "error_type": null,
            "state": "SUCCESS",
            "mitre_attcks": [],
            "certificates": [],
            "hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
            "sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
            "compromised_hosts": [],
            "extracted_files": [{
                "av_label": null,
                "sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
                "threat_level": 0,
                "name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
                "threat_level_readable": "no specific threat",
                "type_tags": ["script", "javascript"],
                "description": "ASCII text, with very long lines",
                "file_available_to_download": false,
                "av_matched": null,
                "runtime_process": null,
                "av_total": null,
                "file_size": 566005,
                "sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
                "file_path": null,
                "md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
            }],
            "analysis_start_time": "2020-07-18T17:35:09+00:00",
            "tags": ["tag", "the"],
            "imphash": "Unknown",
            "total_network_connections": 8,
            "av_detect": 0,
            "classification_tags": [],
            "submit_name": "http://example.com/",
            "ssdeep": "Unknown",
            "md5": "e6f672151804707d11eb4b840c3ec635",
            "error_origin": null,
            "total_signatures": 14,
            "processes": [{
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083159-00001692",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
                "file_accesses": [],
                "parentuid": null,
                "normalized_path": "%WINDIR%System32rundll32.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
                "created_files": [],
                "name": "example.exe"
            }, {
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083319-00003012",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "http://example.com/",
                "file_accesses": [],
                "parentuid": "00083159-00001692",
                "normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
                "created_files": [],
                "name": "example.exe"
            }, {
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083353-00002468",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
                "file_accesses": [],
                "parentuid": "00083319-00003012",
                "normalized_path": "%PROGRAMFILES%Internet Example.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
                "created_files": [],
                "name": "example.exe"}],
            "sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
            "url_analysis": true,
            "type": null,
            "file_metadata": null,
            "environment_description": "Windows 7 32 bit",
            "verdict": "no specific threat",
            "domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
            "type_short": []
        },
        "Entity": "example.com"
    }
]
Panel de casos
Tipo de resultado Valor o descripción Tipo
Mensaje de salida*
  1. Si la comprobación se realiza correctamente: se han obtenido correctamente los informes de los siguientes <identificadores de entidades>.
  2. Si se produce un error al obtener la información de MISP, pero no la información del análisis: se ha obtenido el informe del análisis, pero no se ha podido obtener el informe de MISP de los siguientes <identificadores de entidades>.
  3. Si se produce un error al obtener los resultados: no se han podido obtener los informes de las siguientes <entities identifier
  4. No se han podido enviar URLs o dominios para analizarlos: no se han podido analizar los siguientes elementos: <entities identifiers>. Consulta los registros para obtener más información.
 General
Archivos adjuntos
  1. Título: "Informe de Misp de CrowdStrike Falcon Sandbox - <job_id>
  2. Nombre del archivo adjunto: misp_report_name (se devuelve como resultado de la función get_report_by_job_id)

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.