Falcon Sandbox
Versione integrazione: 15.0
Configura Falcon Sandbox in modo che funzioni con Google Security Operations
Credenziali
La chiave API si trova nella scheda Chiave API della pagina del profilo e viene generata facendo clic sul pulsante Crea chiave API.
Rete
| Funzione | Porta predefinita | Direzione | Protocollo |
|---|---|---|---|
| API | Multivalori | In uscita | apikey |
Configura l'integrazione di Falcon Sandbox in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Parametri di integrazione
Utilizza i seguenti parametri per configurare l'integrazione:
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome istanza | Stringa | N/D | No | Nome dell'istanza per cui intendi configurare l'integrazione. |
| Descrizione | Stringa | N/D | No | Descrizione dell'istanza. |
| Root API | Stringa | https://www.hybrid-analysis.com/docs/api/v2 |
Sì | Indirizzo dell'istanza di CrowdStrike Falcon Sandbox. |
| Chiave API | Stringa | N/D | Sì | Una chiave API generata nell'istanza di CrowdStrike Falcon Sandbox. |
| Soglia | Numero intero | 50,0 | Sì | N/D |
| Esegui da remoto | Casella di controllo | Deselezionata | No | Seleziona il campo per eseguire l'integrazione configurata da remoto. Una volta selezionata, viene visualizzata l'opzione per selezionare l'utente remoto (agente). |
Azioni
Analizza file
Invia un file per un'analisi e recupera il report.
Parametri
| Parametri | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorso file | Stringa | N/D | Sì | Il percorso completo del file da analizzare. |
| Ambiente | Stringa | N/D | Sì | ID ambiente. ID ambienti disponibili: 300: "Linux (Ubuntu 16.04, 64 bit)", 200: "Android Static Analysis", 120: "Windows 7 64 bit", 110: "Windows 7 32 bit (supporto HWP)", 100: "Windows 7 32 bit" |
| Includi report | Casella di controllo | Deselezionata | No | Se attivata, l'azione recupererà il report relativo all'allegato. Nota: questa funzionalità richiede una chiave premium. |
Casi d'uso
N/D
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| max_threat_score | N/D | N/D |
Risultato JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Analizza URL file
Invia un file tramite URL per l'analisi e recupera il report.
Parametri
| Parametri | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| URL file | Stringa | N/D | Sì | L'URL del file da analizzare. Esempio: http://example.com/example/Example-Document.zip |
| Ambiente | Stringa | N/D | Sì | ID ambiente. ID ambienti disponibili: 300: "Linux (Ubuntu 16.04, 64 bit)", 200: "Android Static Analysis", 120: "Windows 7 64 bit", 110: "Windows 7 32 bit (supporto HWP)", 100: "Windows 7 32 bit" |
Casi d'uso
N/D
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| max_threat_score | N/D | N/D |
Risultato JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Scarica il report di scansione dell'hash
Recupera i report di analisi ibrida e arricchisci le entità hash dei file.
Parametri
N/D
Casi d'uso
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica: quando applicarla |
|---|---|
| environment_id | Restituisce se esiste nel risultato JSON |
| total_processes | Restituisce se esiste nel risultato JSON |
| threat_level | Restituisce se esiste nel risultato JSON |
| dimensioni | Restituisce se esiste nel risultato JSON |
| job_id | Restituisce se esiste nel risultato JSON |
| target_url | Restituisce se esiste nel risultato JSON |
| interessante | Restituisce se esiste nel risultato JSON |
| error_type | Restituisce se esiste nel risultato JSON |
| state | Restituisce se esiste nel risultato JSON |
| environment_description | Restituisce se esiste nel risultato JSON |
| mitre_attacks | Restituisce se esiste nel risultato JSON |
| certificati | Restituisce se esiste nel risultato JSON |
| ospita | Restituisce se esiste nel risultato JSON |
| sha256 | Restituisce se esiste nel risultato JSON |
| sha512 | Restituisce se esiste nel risultato JSON |
| compromised_hosts | Restituisce se esiste nel risultato JSON |
| extracted_files | Restituisce se esiste nel risultato JSON |
| analysis_start_time | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| imphash | Restituisce se esiste nel risultato JSON |
| total_network_connections | Restituisce se esiste nel risultato JSON |
| av_detect | Restituisce se esiste nel risultato JSON |
| total_signatures | Restituisce se esiste nel risultato JSON |
| submit_name | Restituisce se esiste nel risultato JSON |
| ssdeep | Restituisce se esiste nel risultato JSON |
| md5 | Restituisce se esiste nel risultato JSON |
| error_origin | Restituisce se esiste nel risultato JSON |
| procedure | Restituisce se esiste nel risultato JSON |
| shal | Restituisce se esiste nel risultato JSON |
| url_analysis | Restituisce se esiste nel risultato JSON |
| tipo | Restituisce se esiste nel risultato JSON |
| file_metadata | Restituisce se esiste nel risultato JSON |
| vx_family | Restituisce se esiste nel risultato JSON |
| threat_score | Restituisce se esiste nel risultato JSON |
| verdetto | Restituisce se esiste nel risultato JSON |
| domini | Restituisce se esiste nel risultato JSON |
| type_short | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| max_threat_score | N/D | N/D |
Risultato JSON
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
Dindin
Testa la connettività a CrowdStrike Falcon Sandbox.
Parametri
N/D
Casi d'uso
N/D
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| operazione riuscita | Vero/Falso | success:False |
Risultato JSON
N/D
Cerca
Cerca nei database di Falcon report di scansione esistenti e informazioni su file e URL dei file.
Parametri
| Parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Nome file | Stringa | N/D | No | Esempio: example.exe. |
| Tipo di file | Stringa | N/D | No | Esempio: docx. |
| Descrizione del tipo di file | Stringa | N/D | No | Esempio: eseguibile PE32. |
| Verdetto | Stringa | N/D | No | Esempio: 1 (1=inclusione nella lista consentita, 2=nessun verdetto, 3=nessuna minaccia specifica, 4=sospetto, 5=dannoso). |
| AV Multiscan Range | Stringa | N/D | No | Esempio: 50-70 (minimo 0, massimo 100). |
| AV Family Substring | Stringa | N/D | No | Esempio: Agent.AD, nemucod. |
| Hashtag | Stringa | N/D | No | Esempio: ransomware |
| Porta | Stringa | N/D | No | Esempio: 8080 |
| Host | Stringa | N/D | No | Esempio: 192.0.2.1 |
| Dominio | Stringa | N/D | No | Esempio: checkip.dyndns.org |
| Sottostringa richiesta HTTP | Stringa | N/D | No | Esempio: google |
| Esempi simili | Stringa | N/D | No | Esempio: \<sha256> |
| Contesto di esempio | Stringa | N/D | No | Esempio: \<sha256> |
Casi d'uso
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| risultati | N/D | N/D |
Invia file
Invia i file per l'analisi.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| Percorso file | Stringa | N/D | Sì | Il percorso completo del file da analizzare. Se sono più di uno, utilizza valori separati da virgola. |
| Ambiente | Menu a discesa | Linux | Sì | Nomi degli ambienti disponibili: 300: "Linux (Ubuntu 16.04, 64 bit)", 200: "Analisi statica Android", 120: "Windows 7 64 bit", 110: "Windows 7 32 bit (supporto HWP)", 100: "Windows 7 32 bit". Il valore predefinito deve essere: Linux (Ubuntu 16.04, 64 bit) |
Casi d'uso
N/D
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
| Nome campo di arricchimento | Logica: quando applicarla |
|---|---|
| sha256 | Restituisce se esiste nel risultato JSON |
| job_id | Restituisce se esiste nel risultato JSON |
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* |
|
Generale |
Wait For Job and Fetch Report
Attendi il completamento di un job di scansione e recupera il report di scansione.
Parametri
| Nome visualizzato del parametro | Tipo | Valore predefinito | È obbligatorio | Descrizione |
|---|---|---|---|---|
| ID job | Stringa | N/D | Vero | ID job. Per più valori, utilizza valori separati da virgole (i valori devono essere passati come segnaposto dall'azione eseguita in precedenza: Invia file). Inoltre, l'ID job può essere fornito manualmente. |
Casi d'uso
N/D
Run On
L'azione non viene eseguita sulle entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* |
|
Generale |
| Allegati |
|
Scansione URL
Scansiona l'URL o il dominio per l'analisi.
Parametri
| Nome visualizzato del parametro | Tipo | È obbligatorio | Descrizione |
|---|---|---|---|
| Soglia | Numero intero | Sì | Contrassegna l'entità come sospetta se il numero di rilevamenti AV è uguale o superiore alla soglia specificata |
| Nome ambiente | DDL | Sì | Windows 7 a 32 bit Windows 7 a 32 bit (supporto HWP) |
Casi d'uso
Un analista può ottenere file di URL o domini di scansione per l'analisi.
Run On
Questa azione viene eseguita sulle seguenti entità:
- URL
- Nome host
Risultati dell'azione
Arricchimento delle entità
Se scan_info_res.get('av_detect') > Valore di soglia (parametro), contrassegna l'entità come sospetta.
Approfondimenti
Aggiungi un approfondimento con il seguente messaggio:CrowdStrike Falcon Sandbox - Entity was marked as malicious by av detection score {av_detect}. Soglia impostata su - {threshold}.
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
Bacheca casi
| Tipo di risultato | Valore / Descrizione | Tipo |
|---|---|---|
| Messaggio di output* |
|
Generale |
| Allegati |
|
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.