Falcon Sandbox

Version de l'intégration : 15.0

Configurer Falcon Sandbox pour qu'il fonctionne avec Google Security Operations

Identifiants

Pour trouver votre clé API, accédez à l'onglet "Clé API" sur la page de votre profil et cliquez sur le bouton Créer une clé API.

Réseau

Fonction Port par défaut Direction Protocole
API Valeurs multiples Sortant apikey

Configurer l'intégration de Falcon Sandbox dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Paramètres d'intégration

Utilisez les paramètres suivants pour configurer l'intégration :

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Nom de l'instance Chaîne N/A Non Nom de l'instance pour laquelle vous souhaitez configurer l'intégration.
Description Chaîne N/A Non Description de l'instance.
Racine de l'API Chaîne https://www.hybrid-analysis.com/docs/api/v2 Oui Adresse de l'instance CrowdStrike Falcon Sandbox.
Clé API Chaîne N/A Oui Clé API générée dans l'instance CrowdStrike Falcon Sandbox.
Seuil Integer 50 Oui N/A
Exécuter à distance Case à cocher Décochée Non Cochez le champ pour exécuter l'intégration configurée à distance. Une fois la case cochée, l'option permettant de sélectionner l'utilisateur distant (agent) s'affiche.

Actions

Analyser un fichier

Envoyez un fichier pour analyse et récupérez le rapport.

Paramètres

Paramètres Type Valeur par défaut Obligatoire Description
Chemin d'accès au fichier Chaîne N/A Oui Chemin d'accès complet au fichier à analyser.
Environnement Chaîne N/A Oui ID de l'environnement. ID des environnements disponibles : 300 : "Linux (Ubuntu 16.04, 64 bits)", 200 : "Analyse statique Android", 120 : "Windows 7 64 bits", 110 : "Windows 7 32 bits (compatible HWP)", 100 : "Windows 7 32 bits"
Inclure un rapport Case à cocher Décochée Non Si cette option est activée, l'action récupère le rapport associé à la pièce jointe. Remarque : Cette fonctionnalité nécessite une clé Premium.

Cas d'utilisation

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
max_threat_score N/A N/A
Résultat JSON
[
    {
        "target_url": null,
        "threat_score": null,
        "environment_id": 100,
        "total_processes": 0,
        "threat_level": null,
        "size": 31261,
        "job_id": "5c4435ef7ca3e109e640b709",
        "vx_family": null,
        "interesting": false,
        "error_origin": null,
        "state": "IN_QUEUE","mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
        "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2019-01-20T02:50:01-06:00",
        "tags": [],
        "imphash": null,
        "total_network_connections": 0,
        "av_detect": null,
        "total_signatures": 0,
        "submit_name": "Proofpoint_R_Logo (1).png",
        "ssdeep": null,
        "classification_tags": [],
        "md5": "48703c5d4ea8dc2099c37ea871b640ef",
        "processes": [],
        "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
        "url_analysis": false,
        "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
        "file_metadata": null,
        "environment_description": "Windows 7 32 bit",
        "verdict": null, "domains": [],
        "error_type": null,
        "type_short": ["img"]
    }
]

Analyser l'URL d'un fichier

Envoyez un fichier par URL pour analyse et récupérez le rapport.

Paramètres

Paramètres Type Valeur par défaut Obligatoire Description
URL du fichier Chaîne N/A Oui URL du fichier à analyser. Exemple : http://example.com/example/Example-Document.zip
Environnement Chaîne N/A Oui ID de l'environnement. ID des environnements disponibles : 300 : "Linux (Ubuntu 16.04, 64 bits)", 200 : "Analyse statique Android", 120 : "Windows 7 64 bits", 110 : "Windows 7 32 bits (compatible HWP)", 100 : "Windows 7 32 bits"

Cas d'utilisation

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
max_threat_score N/A N/A
Résultat JSON
[
    {
        "target_url": null,
        "threat_score": null,
        "environment_id": 100,
        "total_processes": 0,
        "threat_level": null,
        "size": 31261,
        "job_id": "5c4435ef7ca3e109e640b709",
        "vx_family": null,
        "interesting": false,
        "error_origin": null,
        "state": "IN_QUEUE",
        "mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
        "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2019-01-20T02:50:01-06:00",
        "tags": [],
        "imphash": null,
        "total_network_connections": 0,
        "av_detect": null,
        "total_signatures": 0,
        "submit_name": "Proofpoint_R_Logo (1).png",
        "ssdeep": null, "classification_tags": [],
        "md5": "48703c5d4ea8dc2099c37ea871b640ef",
        "processes": [],
        "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
        "url_analysis": false,
        "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
        "file_metadata": null,
        "environment_description": "Windows 7 32 bit",
        "verdict": null,
        "domains": [],
        "error_type": null,
        "type_short": ["img"]
    }
]

Obtenir un rapport Hash Scan

Récupérez les rapports d'analyse hybride et enrichissez les entités de hachage de fichier.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur l'entité Filehash.

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
environment_id Renvoie la valeur si elle existe dans le résultat JSON.
total_processes Renvoie la valeur si elle existe dans le résultat JSON.
threat_level Renvoie la valeur si elle existe dans le résultat JSON.
taille Renvoie la valeur si elle existe dans le résultat JSON.
job_id Renvoie la valeur si elle existe dans le résultat JSON.
target_url Renvoie la valeur si elle existe dans le résultat JSON.
intéressant Renvoie la valeur si elle existe dans le résultat JSON.
error_type Renvoie la valeur si elle existe dans le résultat JSON.
state Renvoie la valeur si elle existe dans le résultat JSON.
environment_description Renvoie la valeur si elle existe dans le résultat JSON.
mitre_attacks Renvoie la valeur si elle existe dans le résultat JSON.
certificats Renvoie la valeur si elle existe dans le résultat JSON.
héberge Renvoie la valeur si elle existe dans le résultat JSON.
sha256 Renvoie la valeur si elle existe dans le résultat JSON.
sha512 Renvoie la valeur si elle existe dans le résultat JSON.
compromised_hosts Renvoie la valeur si elle existe dans le résultat JSON.
extracted_files Renvoie la valeur si elle existe dans le résultat JSON.
analysis_start_time Renvoie la valeur si elle existe dans le résultat JSON.
tags Renvoie la valeur si elle existe dans le résultat JSON.
imphash Renvoie la valeur si elle existe dans le résultat JSON.
total_network_connections Renvoie la valeur si elle existe dans le résultat JSON.
av_detect Renvoie la valeur si elle existe dans le résultat JSON.
total_signatures Renvoie la valeur si elle existe dans le résultat JSON.
submit_name Renvoie la valeur si elle existe dans le résultat JSON.
ssdeep Renvoie la valeur si elle existe dans le résultat JSON.
md5 Renvoie la valeur si elle existe dans le résultat JSON.
error_origin Renvoie la valeur si elle existe dans le résultat JSON.
processes Renvoie la valeur si elle existe dans le résultat JSON.
shal Renvoie la valeur si elle existe dans le résultat JSON.
url_analysis Renvoie la valeur si elle existe dans le résultat JSON.
type Renvoie la valeur si elle existe dans le résultat JSON.
file_metadata Renvoie la valeur si elle existe dans le résultat JSON.
vx_family Renvoie la valeur si elle existe dans le résultat JSON.
threat_score Renvoie la valeur si elle existe dans le résultat JSON.
verdict Renvoie la valeur si elle existe dans le résultat JSON.
domaines Renvoie la valeur si elle existe dans le résultat JSON.
type_short Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
max_threat_score N/A N/A
Résultat JSON
[
    {
        "EntityResult":
        [{
            "classification_tags": [],
            "environment_id": 100,
            "total_processes": 0,
            "threat_level": null,
            "size": 31261,
            "job_id": "5c4435ef7ca3e109e640b709",
            "target_url": null,
            "interesting": false,
            "error_type": null,
            "state": "IN_QUEUE",
            "environment_description": "Windows 7 32 bit",
            "mitre_attcks": [],
            "certificates": [],
            "hosts": [],
            "sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
            "sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
            "compromised_hosts": [],
            "extracted_files": [],
            "analysis_start_time": "2019-01-20T02:50:01-06:00",
            "tags": [],
            "imphash": null,
            "total_network_connections": 0,
            "av_detect": null,
            "total_signatures": 0,
            "submit_name": "Proofpoint_R_Logo (1).png",
            "ssdeep": null,
            "md5": "48703c5d4ea8dc2099c37ea871b640ef",
            "error_origin": null,
            "processes": [],
            "sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
            "url_analysis": false,
            "type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
            "file_metadata": null,
            "vx_family": null,
            "threat_score": null,
            "verdict": null,
            "domains": [],
            "type_short": ["img"]
        }],
        "Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
    }
]

Ping

Testez la connectivité à CrowdStrike Falcon Sandbox.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
success Vrai/Faux success:False
Résultat JSON

N/A

Recherchez dans les bases de données Falcon les rapports d'analyse existants et les informations sur les fichiers et les URL de fichiers.

Paramètres

Paramètre Type Valeur par défaut Obligatoire Description
Nom du fichier Chaîne N/A Non Exemple : example.exe.
Type de fichier Chaîne N/A Non Exemple : docx.
Description du type de fichier Chaîne N/A Non Exemple : exécutable PE32.
Évaluation Chaîne N/A Non Exemple : 1 (1=autorisé, 2=aucun verdict, 3=aucune menace spécifique, 4=suspect, 5=malveillant).
Plage multiscan AV Chaîne N/A Non Exemple : 50-70 (min 0, max 100).
Sous-chaîne de la famille AV Chaîne N/A Non Exemple : Agent.AD, nemucod.
Hashtag Chaîne N/A Non Exemple : ransomware
Port Chaîne N/A Non Exemple : 8080
Hôte Chaîne N/A Non Exemple : 192.0.2.1
Domaine Chaîne N/A Non Exemple : checkip.dyndns.org
Sous-chaîne de la requête HTTP Chaîne N/A Non Exemple : google
Échantillons similaires Chaîne N/A Non Exemple : \<sha256>
Exemple de contexte Chaîne N/A Non Exemple : \<sha256>

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
résultats N/A N/A

Envoyer le fichier

Envoyez des fichiers pour analyse.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
Chemin d'accès au fichier Chaîne N/A Oui Chemin d'accès complet au fichier à analyser. Pour plusieurs valeurs, utilisez des valeurs séparées par une virgule.
Environnement Menu déroulant Linux Oui

Noms des environnements disponibles : 300 : "Linux (Ubuntu 16.04, 64 bits)", 200 : "Analyse statique Android", 120 : "Windows 7 64 bits", 110 : "Windows 7 32 bits (compatible HWP)", 100 : "Windows 7 32 bits".

La valeur par défaut doit être "Linux (Ubuntu 16.04, 64 bits)".

Cas d'utilisation

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Enrichissement d'entités
Nom du champ d'enrichissement Logique : quand l'appliquer ?
sha256 Renvoie la valeur si elle existe dans le résultat JSON.
job_id Renvoie la valeur si elle existe dans le résultat JSON.
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
    {
        "EntityResult": {
            "sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
            "job_id": "5f21459cb80c2d0a182b7967"
        },
        "Entity": "/temp/test.txt"
    }
]
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*
  1. Fichiers envoyés : les fichiers suivants ont été envoyés <liste des chemins d'accès aux fichiers>
  2. Aucun devoir de bonne qualité : aucun fichier n'a été envoyé pour analyse.
  3. Échec de l'importation des fichiers suivants : <liste des chemins d'accès aux fichiers>. Pour en savoir plus, consultez les journaux.
 Général

Attendre la fin du job et récupérer le rapport

Attendez qu'une tâche d'analyse soit terminée et récupérez le rapport d'analyse.

Paramètres

Nom à afficher du paramètre Type Valeur par défaut Obligatoire Description
ID de tâche Chaîne N/A Vrai

ID des jobs Pour plusieurs valeurs, utilisez des valeurs séparées par une virgule (les valeurs doivent être transmises en tant qu'espace réservé à partir de l'action précédemment exécutée "Envoyer le fichier").

Vous pouvez également fournir l'ID du job manuellement.

Cas d'utilisation

N/A

Exécuter sur

L'action ne s'exécute pas sur les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
{
    "5f21459cb80c2d0a182b7967": {
        "environment_id": 300,
        "threat_score": 0,
        "target_url": null,
        "total_processes": 0,
        "threat_level": 3,
        "size": 26505,
        "submissions": [{
            "url": null,
            "submission_id": "5f267a34e3e6784e4f180936",
            "created_at": "2020-08-02T08:32:52+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f2146381a5f6253f266fed9",
            "created_at": "2020-07-29T09:49:44+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f21461360cae26e4719a6c9",
            "created_at": "2020-07-29T09:49:07+00:00",
            "filename": "Test.py"
        }, {
            "url": null,
            "submission_id": "5f21459cb80c2d0a182b7968",
            "created_at": "2020-07-29T09:47:08+00:00",
            "filename": "Test.py"
        }],
        "job_id": "5f21459cb80c2d0a182b7967",
        "vx_family": null,
        "interesting": false,
        "error_type": null,
        "state": "SUCCESS",
        "mitre_attcks": [],
        "certificates": [],
        "hosts": [],
        "sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
        "sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
        "compromised_hosts": [],
        "extracted_files": [],
        "analysis_start_time": "2020-07-29T09:47:17+00:00",
        "tags": [],
        "imphash": "Unknown",
        "total_network_connections": 0,
        "av_detect": null,
        "classification_tags": [],
        "submit_name": "Test.py",
        "ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
        "md5": "bfec680af21539eb0a9f349038c68220",
        "error_origin": null,
        "total_signatures": 0,
        "processes": [],
        "sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
        "url_analysis": false,
        "type": "Python script, ASCII text executable, with CRLF line terminators",
        "file_metadata": null,
        "environment_description": "Linux (Ubuntu 16.04, 64 bit)",
        "verdict": "no verdict",
        "domains": [],
        "type_short": ["script", "python"]
    }
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*
  1. Si l'action a été effectuée avec succès pour au moins l'un des ID de job fournis : "Rapport récupéré avec succès pour les jobs suivants : <>"
  2. Si l'action n'a pas pu s'exécuter pour au moins l'un des ID de job fournis : "Échec de la récupération du rapport pour les jobs suivants :
  3. Si l'action a partiellement réussi (par exemple, le rapport a été récupéré, mais pas le rapport sur les erreurs d'interprétation) : le rapport d'analyse a été récupéré, mais pas le rapport MISP pour les tâches suivantes :
  4. si toutes les tâches ont échoué : affiche "Toutes les tâches ont échoué" (la valeur du résultat doit être définie sur "false")
 Général
Pièces jointes
  1. Titre : "Rapport MISP CrowdStrike Falcon Sandbox n° <index>"
  2. Nom de la pièce jointe : nom du fichier issu des résultats de get_report_by_hash
  3. Contenu de la pièce jointe : base64.b64encode(contenu du rapport) à partir des résultats de get_report_by_hash
  4. Remarque : N'oubliez pas de gérer la limite de taille de la plate-forme (en l'encapsulant avec try-except).

Analyser l'URL

Analysez une URL ou un domaine.

Paramètres

Nom à afficher du paramètre Type Obligatoire Description
Seuil Integer Oui Marquer l'entité comme suspecte si le nombre de détections AV est supérieur ou égal au seuil donné
Nom de l'environnement LDD Oui

Windows 7 32 bits

Windows 7 32 bits (prise en charge HWP)
Windows 7 64 bits
Analyse statique Android
Linux (Ubuntu 16.04, 64 bits)

Cas d'utilisation

Un analyste peut obtenir des fichiers d'URL ou de domaine à analyser.

Exécuter sur

Cette action s'applique aux entités suivantes :

  • URL
  • Nom d'hôte

Résultats de l'action

Enrichissement d'entités

Si scan_info_res.get('av_detect') est supérieur à la valeur seuil (paramètre), marquez l'entité comme suspecte.

Insights

Ajoutez un insight avec le message suivant : "CrowdStrike Falcon Sandbox : l'entité a été marquée comme malveillante avec un score de détection AV de {av_detect}." Seuil défini sur {threshold}.

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
    {
        "EntityResult": {
            "environment_id": 100,
            "threat_score": 13,
            "target_url": null,
            "total_processes": 3,
            "threat_level": 0,
            "size": null,
            "submissions": [{
                "url": "http://example.com/",
                "submission_id": "5f4925f00da24603010641be",
                "created_at": "2020-08-28T15:42:40+00:00",
                "filename": null
            }, {
                "url": "http://example.com/",
                "submission_id": "5f48c011f86f36448901d054",
                "created_at": "2020-08-28T08:28:01+00:00",
                "filename": null
            }],
            "job_id": "5f1332c48161bb7d5b6c9663",
            "vx_family": "Unrated site",
            "interesting": false,
            "error_type": null,
            "state": "SUCCESS",
            "mitre_attcks": [],
            "certificates": [],
            "hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
            "sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
            "compromised_hosts": [],
            "extracted_files": [{
                "av_label": null,
                "sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
                "threat_level": 0,
                "name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
                "threat_level_readable": "no specific threat",
                "type_tags": ["script", "javascript"],
                "description": "ASCII text, with very long lines",
                "file_available_to_download": false,
                "av_matched": null,
                "runtime_process": null,
                "av_total": null,
                "file_size": 566005,
                "sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
                "file_path": null,
                "md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
            }],
            "analysis_start_time": "2020-07-18T17:35:09+00:00",
            "tags": ["tag", "the"],
            "imphash": "Unknown",
            "total_network_connections": 8,
            "av_detect": 0,
            "classification_tags": [],
            "submit_name": "http://example.com/",
            "ssdeep": "Unknown",
            "md5": "e6f672151804707d11eb4b840c3ec635",
            "error_origin": null,
            "total_signatures": 14,
            "processes": [{
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083159-00001692",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
                "file_accesses": [],
                "parentuid": null,
                "normalized_path": "%WINDIR%System32rundll32.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
                "created_files": [],
                "name": "example.exe"
            }, {
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083319-00003012",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "http://example.com/",
                "file_accesses": [],
                "parentuid": "00083159-00001692",
                "normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
                "created_files": [],
                "name": "example.exe"
            }, {
                "process_flags": [],
                "av_label": null,
                "mutants": [],
                "uid": "00083353-00002468",
                "icon": null,
                "script_calls": [],
                "pid": null,
                "handles": [],
                "command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
                "file_accesses": [],
                "parentuid": "00083319-00003012",
                "normalized_path": "%PROGRAMFILES%Internet Example.exe",
                "av_matched": null,
                "streams": [],
                "registry": [],
                "av_total": null,
                "sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
                "created_files": [],
                "name": "example.exe"}],
            "sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
            "url_analysis": true,
            "type": null,
            "file_metadata": null,
            "environment_description": "Windows 7 32 bit",
            "verdict": "no specific threat",
            "domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
            "type_short": []
        },
        "Entity": "example.com"
    }
]
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*
  1. Si l'analyse réussit : <identifiants d'entités> : rapports récupérés
  2. En cas d'erreur lors de la récupération des informations sur les erreurs de saisie, mais pas des informations sur l'analyse : le rapport d'analyse a été récupéré, mais le rapport MISP n'a pas pu être obtenu pour les <identifiants d'entités> suivants.
  3. En cas d'erreur lors de la récupération des résultats : Échec de la récupération des rapports pour les <identifiants d'entités suivants
  4. Échec de l'envoi des URL/domaines pour analyse : l'analyse des éléments suivants a échoué : <identifiants des entités>. Pour en savoir plus, consultez les journaux.
 Général
Pièces jointes
  1. Titre : "Rapport MISP CrowdStrike Falcon Sandbox - <job_id>
  2. Nom de la pièce jointe : misp_report_name (renvoyé en tant que résultat de la fonction get_report_by_job_id)

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.