Falcon Sandbox
Versão da integração: 15.0
Configure o Falcon Sandbox para funcionar com o Google Security Operations
Credenciais
Pode encontrar a chave da API navegando para o separador Chave da API na página do seu perfil e é gerada clicando no botão Criar chave da API.
Rede
| Função | Porta predefinida | Direção | Protocolo |
|---|---|---|---|
| API | Vários valores | De saída | apikey |
Configure a integração do Falcon Sandbox no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância para a qual pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://www.hybrid-analysis.com/docs/api/v2 |
Sim | Endereço da instância do CrowdStrike Falcon Sandbox. |
| Chave de API | String | N/A | Sim | Uma chave da API gerada na instância do CrowdStrike Falcon Sandbox. |
| Limite | Número inteiro | 50,0 | Sim | N/A |
| Executar remotamente | Caixa de verificação | Desmarcado | Não | Selecione o campo para executar a integração configurada remotamente. Depois de selecionada, a opção aparece para selecionar o utilizador remoto (agente). |
Ações
Analise o ficheiro
Envie um ficheiro para análise e obtenha o relatório.
Parâmetros
| Parâmetros | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho do ficheiro | String | N/A | Sim | O caminho completo do ficheiro a analisar. |
| Ambiente | String | N/A | Sim | ID do ambiente. ID dos ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 de 64 bits", 110: "Windows 7 de 32 bits (suporte de HWP)", 100: "Windows 7 de 32 bits" |
| Incluir relatório | Caixa de verificação | Desmarcado | Não | Se estiver ativada, a ação vai obter o relatório relacionado com o anexo. Nota: esta funcionalidade requer uma chave premium. |
Exemplos de utilização
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Analyze File Url
Envie um ficheiro por URL para análise e obtenha um relatório.
Parâmetros
| Parâmetros | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| URL do ficheiro | String | N/A | Sim | O URL do ficheiro a analisar. Exemplo: http://example.com/example/Example-Document.zip |
| Ambiente | String | N/A | Sim | ID do ambiente. ID dos ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 de 64 bits", 110: "Windows 7 de 32 bits (suporte de HWP)", 100: "Windows 7 de 32 bits" |
Exemplos de utilização
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Obtenha o relatório de análise de hash
Obtenha relatórios de análise híbrida e enriqueça as entidades de hash de ficheiros.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| environment_id | Devolve se existir no resultado JSON |
| total_processes | Devolve se existir no resultado JSON |
| threat_level | Devolve se existir no resultado JSON |
| tamanho | Devolve se existir no resultado JSON |
| job_id | Devolve se existir no resultado JSON |
| target_url | Devolve se existir no resultado JSON |
| interessante | Devolve se existir no resultado JSON |
| error_type | Devolve se existir no resultado JSON |
| estado | Devolve se existir no resultado JSON |
| environment_description | Devolve se existir no resultado JSON |
| mitre_attacks | Devolve se existir no resultado JSON |
| certificados | Devolve se existir no resultado JSON |
| anfitriões | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| sha512 | Devolve se existir no resultado JSON |
| compromised_hosts | Devolve se existir no resultado JSON |
| extracted_files | Devolve se existir no resultado JSON |
| analysis_start_time | Devolve se existir no resultado JSON |
| etiquetas | Devolve se existir no resultado JSON |
| imphash | Devolve se existir no resultado JSON |
| total_network_connections | Devolve se existir no resultado JSON |
| av_detect | Devolve se existir no resultado JSON |
| total_signatures | Devolve se existir no resultado JSON |
| submit_name | Devolve se existir no resultado JSON |
| ssdeep | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| error_origin | Devolve se existir no resultado JSON |
| processos | Devolve se existir no resultado JSON |
| shal | Devolve se existir no resultado JSON |
| url_analysis | Devolve se existir no resultado JSON |
| escrever | Devolve se existir no resultado JSON |
| file_metadata | Devolve se existir no resultado JSON |
| vx_family | Devolve se existir no resultado JSON |
| threat_score | Devolve se existir no resultado JSON |
| veredicto | Devolve se existir no resultado JSON |
| domínios | Devolve se existir no resultado JSON |
| type_short | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado JSON
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
Tchim-tchim
Teste a conetividade à CrowdStrike Falcon Sandbox.
Parâmetros
N/A
Exemplos de utilização
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| êxito | Verdadeiro/Falso | success:False |
Resultado JSON
N/A
Pesquisar
Pesquise nas bases de dados do Falcon relatórios de análise existentes e informações sobre ficheiros e URLs de ficheiros.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do ficheiro | String | N/A | Não | Exemplo: example.exe. |
| Tipo de ficheiro | String | N/A | Não | Exemplo: docx. |
| Descrição do tipo de ficheiro | String | N/A | Não | Exemplo: executável PE32. |
| Veredito | String | N/A | Não | Exemplo: 1 (1=lista branca, 2=sem veredito, 3=sem ameaça específica, 4=suspeito, 5=malicioso). |
| Intervalo de varredura múltipla AV | String | N/A | Não | Exemplo: 50-70 (mínimo 0, máximo 100). |
| AV Family Substring | String | N/A | Não | Exemplo: Agent.AD, nemucod. |
| Hashtag | String | N/A | Não | Exemplo: ransomware |
| Porta | String | N/A | Não | Exemplo: 8080 |
| Anfitrião | String | N/A | Não | Exemplo: 192.0.2.1 |
| Domínio | String | N/A | Não | Exemplo: checkip.dyndns.org |
| Substring do pedido HTTP | String | N/A | Não | Exemplo: google |
| Amostras semelhantes | String | N/A | Não | Exemplo: \<sha256> |
| Exemplo de contexto | String | N/A | Não | Exemplo: \<sha256> |
Exemplos de utilização
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Enviar ficheiro
Envie ficheiros para análise.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho do ficheiro | String | N/A | Sim | O caminho completo do ficheiro a analisar. Para vários, use valores separados por vírgulas. |
| Ambiente | Menu pendente | Linux | Sim | Nomes dos ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 de 64 bits", 110: "Windows 7 de 32 bits (suporte de HWP)", 100: "Windows 7 de 32 bits". A predefinição deve ser: Linux (Ubuntu 16.04, 64 bits) |
Exemplos de utilização
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| sha256 | Devolve se existir no resultado JSON |
| job_id | Devolve se existir no resultado JSON |
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
Wait For Job and Fetch Report
Aguarde a conclusão de uma tarefa de análise e obtenha o relatório de análise.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do trabalho | String | N/A | True | IDs dos trabalhos. Para vários, use valores separados por vírgulas (os valores devem ser transmitidos como um marcador de posição da ação executada anteriormente: enviar ficheiro). Além disso, o ID do trabalho pode ser fornecido manualmente. |
Exemplos de utilização
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
| Anexos |
|
Analisar URL
Analise o URL ou o domínio.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | É obrigatório | Descrição |
|---|---|---|---|
| Limite | Número inteiro | Sim | Marcar a entidade como suspeita se o número de deteções de antivírus for igual ou superior ao limite especificado |
| Nome do ambiente | LDD | Sim | Windows 7 de 32 bits Windows 7 de 32 bits (suporte de HWP) |
Exemplos de utilização
Um analista pode obter ficheiros de URLs ou domínios de análise de deteção.
Executar em
Esta ação é executada nas seguintes entidades:
- URL
- Nome do anfitrião
Resultados da ação
Enriquecimento de entidades
Se scan_info_res.get('av_detect') > valor de limite (parâmetro), marque a entidade como suspeita.
Estatísticas
Adicione uma estatística com a seguinte mensagem:CrowdStrike Falcon Sandbox - Entity was marked as malicious by av detection score {av_detect}. Limite definido como - {threshold}.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
| Anexos |
|
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.