Falcon Sandbox
Versão da integração: 15.0
Configurar o Falcon Sandbox para trabalhar com o Google Security Operations
Credenciais
Para encontrar sua chave de API, acesse a guia "Chave de API" na página do seu perfil e clique no botão Criar chave de API.
Rede
| Função | Porta padrão | Direção | Protocolo |
|---|---|---|---|
| API | Multivalores | Saída | apikey |
Configurar a integração do Falcon Sandbox no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome da instância | String | N/A | Não | Nome da instância em que você pretende configurar a integração. |
| Descrição | String | N/A | Não | Descrição da instância. |
| Raiz da API | String | https://www.hybrid-analysis.com/docs/api/v2 |
Sim | Endereço da instância do CrowdStrike Falcon Sandbox. |
| Chave de API | String | N/A | Sim | Uma chave de API gerada na instância do CrowdStrike Falcon Sandbox. |
| Limite | Número inteiro | 50,0 | Sim | N/A |
| Executar remotamente | Caixa de seleção | Desmarcado | Não | Marque a caixa para executar a integração configurada remotamente. Depois de marcada, a opção aparece para selecionar o usuário remoto (agente). |
Ações
Analisar arquivo
Envie um arquivo para análise e extraia o relatório.
Parâmetros
| Parâmetros | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho do arquivo | String | N/A | Sim | O caminho completo do arquivo a ser analisado. |
| Ambiente | String | N/A | Sim | ID do ambiente. ID de ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 64 bits", 110: "Windows 7 32 bits (suporte a HWP)", 100: "Windows 7 32 bits" |
| Incluir relatório | Caixa de seleção | Desmarcado | Não | Se ativada, a ação vai buscar o relatório relacionado ao anexo. Observação: esse recurso exige uma chave premium. |
Casos de uso
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado do JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Analisar URL do arquivo
Envie um arquivo por URL para análise e extraia o relatório.
Parâmetros
| Parâmetros | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| URL do arquivo | String | N/A | Sim | O URL do arquivo a ser analisado. Exemplo: http://example.com/example/Example-Document.zip |
| Ambiente | String | N/A | Sim | ID do ambiente. ID de ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 64 bits", 110: "Windows 7 32 bits (suporte a HWP)", 100: "Windows 7 32 bits" |
Casos de uso
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado do JSON
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
Receber relatório de verificação de hash
Busque relatórios de análise híbrida e enriqueça as entidades de hash de arquivo.
Parâmetros
N/A
Casos de uso
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| environment_id | Retorna se ele existe no resultado JSON |
| total_processes | Retorna se ele existe no resultado JSON |
| threat_level | Retorna se ele existe no resultado JSON |
| tamanho | Retorna se ele existe no resultado JSON |
| job_id | Retorna se ele existe no resultado JSON |
| target_url | Retorna se ele existe no resultado JSON |
| interessante | Retorna se ele existe no resultado JSON |
| error_type | Retorna se ele existe no resultado JSON |
| estado | Retorna se ele existe no resultado JSON |
| environment_description | Retorna se ele existe no resultado JSON |
| mitre_attacks | Retorna se ele existe no resultado JSON |
| certificados | Retorna se ele existe no resultado JSON |
| hospeda | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| sha512 | Retorna se ele existe no resultado JSON |
| compromised_hosts | Retorna se ele existe no resultado JSON |
| extracted_files | Retorna se ele existe no resultado JSON |
| analysis_start_time | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| imphash | Retorna se ele existe no resultado JSON |
| total_network_connections | Retorna se ele existe no resultado JSON |
| av_detect | Retorna se ele existe no resultado JSON |
| total_signatures | Retorna se ele existe no resultado JSON |
| submit_name | Retorna se ele existe no resultado JSON |
| ssdeep | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| error_origin | Retorna se ele existe no resultado JSON |
| processes | Retorna se ele existe no resultado JSON |
| shal | Retorna se ele existe no resultado JSON |
| url_analysis | Retorna se ele existe no resultado JSON |
| tipo | Retorna se ele existe no resultado JSON |
| file_metadata | Retorna se ele existe no resultado JSON |
| vx_family | Retorna se ele existe no resultado JSON |
| threat_score | Retorna se ele existe no resultado JSON |
| veredicto | Retorna se ele existe no resultado JSON |
| domínios | Retorna se ele existe no resultado JSON |
| type_short | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| max_threat_score | N/A | N/A |
Resultado do JSON
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
Ping
Teste a conectividade com o CrowdStrike Falcon Sandbox.
Parâmetros
N/A
Casos de uso
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| sucesso | Verdadeiro/Falso | success:False |
Resultado do JSON
N/A
Pesquisar
Pesquise nos bancos de dados do Falcon relatórios de verificação e informações sobre arquivos e URLs de arquivos.
Parâmetros
| Parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do arquivo | String | N/A | Não | Exemplo: example.exe. |
| Tipo de arquivo | String | N/A | Não | Exemplo: docx. |
| Descrição do tipo de arquivo | String | N/A | Não | Exemplo: executável PE32. |
| Veredito | String | N/A | Não | Exemplo: 1 (1=lista de permissões, 2=sem veredito, 3=sem ameaça específica, 4=suspeito, 5=malicioso). |
| Intervalo de multiscaneamento de AV | String | N/A | Não | Exemplo: 50 a 70 (mínimo 0, máximo 100). |
| Substring da família AV | String | N/A | Não | Exemplo: Agent.AD, nemucod. |
| Hashtag | String | N/A | Não | Exemplo: ransomware |
| Porta | String | N/A | Não | Exemplo: 8080 |
| Host | String | N/A | Não | Exemplo: 192.0.2.1 |
| Domínio | String | N/A | Não | Exemplo: checkip.dyndns.org |
| Substring da solicitação HTTP | String | N/A | Não | Exemplo: google |
| Amostras semelhantes | String | N/A | Não | Exemplo: \<sha256> |
| Exemplo de contexto | String | N/A | Não | Exemplo: \<sha256> |
Casos de uso
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| resultados | N/A | N/A |
Enviar arquivo
Envie arquivos para análise.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho do arquivo | String | N/A | Sim | O caminho completo do arquivo a ser analisado. Para vários, use valores separados por vírgula. |
| Ambiente | Menu suspenso | Linux | Sim | Nomes de ambientes disponíveis: 300: "Linux (Ubuntu 16.04, 64 bits)", 200: "Análise estática do Android", 120: "Windows 7 64 bits", 110: "Windows 7 32 bits (suporte a HWP)", 100: "Windows 7 32 bits". O padrão deve ser: Linux (Ubuntu 16.04, 64 bits) |
Casos de uso
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| sha256 | Retorna se ele existe no resultado JSON |
| job_id | Retorna se ele existe no resultado JSON |
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
Aguardar job e buscar relatório
Aguarde a conclusão de um job de verificação e busque o relatório.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID do job | String | N/A | Verdadeiro | IDs dos jobs. Para vários, use valores separados por vírgulas (os valores precisam ser transmitidos como um marcador de posição da ação "Enviar arquivo" executada anteriormente). Além disso, o ID do job pode ser fornecido manualmente. |
Casos de uso
N/A
Executar em
A ação não é executada em entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
| Anexos |
|
Verificar URL
Verifique o URL ou domínio para análise.
Parâmetros
| Nome de exibição do parâmetro | Tipo | É obrigatório | Descrição |
|---|---|---|---|
| Limite | Número inteiro | Sim | Marcar a entidade como suspeita se o número de detecções de AV for igual ou maior que o limite especificado |
| Nome do ambiente | DDL | Sim | Windows 7 de 32 bits Windows 7 de 32 bits (suporte a HWP) |
Casos de uso
Um analista pode receber arquivos de URL ou domínio de verificação para análise.
Executar em
Essa ação é executada nas seguintes entidades:
- URL
- Nome do host
Resultados da ação
Enriquecimento de entidades
Se scan_info_res.get('av_detect') > valor de limite (parâmetro), marque a entidade como suspeita.
Insights
Adicione um insight com a seguinte mensagem:CrowdStrike Falcon Sandbox - A entidade foi marcada como maliciosa pela pontuação de detecção de AV {av_detect}. Limite definido como {threshold}.
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* |
|
Geral |
| Anexos |
|
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.