Falcon Sandbox
整合版本:15.0
設定 Falcon Sandbox,以便與 Google Security Operations 搭配使用
憑證
如要查看 API 金鑰,請前往個人資料頁面的「API Key」分頁,然後按一下「Create API key」按鈕。
網路
| 函式 | 預設通訊埠 | 方向 | 通訊協定 |
|---|---|---|---|
| API | 多個值 | 傳出 | apikey |
在 Google SecOps 中設定 Falcon Sandbox 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
整合參數
請使用下列參數設定整合:
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 執行個體名稱 | 字串 | 不適用 | 否 | 您要設定整合的執行個體名稱。 |
| 說明 | 字串 | 不適用 | 否 | 執行個體的說明。 |
| API 根層級 | 字串 | https://www.hybrid-analysis.com/docs/api/v2 |
是 | CrowdStrike Falcon Sandbox 執行個體的位址。 |
| API 金鑰 | 字串 | 不適用 | 是 | 在 CrowdStrike Falcon Sandbox 執行個體中產生的 API 金鑰。 |
| 門檻 | 整數 | 50.0 | 是 | 不適用 |
| 遠端執行 | 核取方塊 | 已取消勾選 | 否 | 勾選這個欄位,即可遠端執行設定的整合項目。勾選後,系統會顯示選取遠端使用者 (服務專員) 的選項。 |
動作
分析檔案
提交檔案以進行分析,並擷取報表。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 是 | 要分析的檔案完整路徑。 |
| 環境 | 字串 | 不適用 | 是 | 環境 ID。可用環境 ID:300:'Linux (Ubuntu 16.04, 64 位元)'、200:'Android 靜態分析'、120:'Windows 7 64 位元'、110:'Windows 7 32 位元 (支援 HWP)'、100:'Windows 7 32 位元' |
| 包含報表 | 核取方塊 | 已取消勾選 | 否 | 如果啟用,動作會擷取與附件相關的報表。注意:這項功能需要付費金鑰。 |
用途
不適用
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| max_threat_score | 不適用 | 不適用 |
JSON 結果
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
分析檔案網址
透過網址提交檔案以供分析,並擷取報表。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案網址 | 字串 | 不適用 | 是 | 要分析的檔案網址。範例:http://example.com/example/Example-Document.zip |
| 環境 | 字串 | 不適用 | 是 | 環境 ID。可用環境 ID:300:'Linux (Ubuntu 16.04, 64 位元)'、200:'Android 靜態分析'、120:'Windows 7 64 位元'、110:'Windows 7 32 位元 (支援 HWP)'、100:'Windows 7 32 位元' |
用途
不適用
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| max_threat_score | 不適用 | 不適用 |
JSON 結果
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
取得雜湊掃描報告
擷取混合分析報告,並擴充檔案雜湊實體。
參數
不適用
用途
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| environment_id | 如果 JSON 結果中存在該值,則傳回該值 |
| total_processes | 如果 JSON 結果中存在該值,則傳回該值 |
| threat_level | 如果 JSON 結果中存在該值,則傳回該值 |
| 大小 | 如果 JSON 結果中存在該值,則傳回該值 |
| job_id | 如果 JSON 結果中存在該值,則傳回該值 |
| target_url | 如果 JSON 結果中存在該值,則傳回該值 |
| 有趣 | 如果 JSON 結果中存在該值,則傳回該值 |
| error_type | 如果 JSON 結果中存在該值,則傳回該值 |
| state | 如果 JSON 結果中存在該值,則傳回該值 |
| environment_description | 如果 JSON 結果中存在該值,則傳回該值 |
| mitre_attacks | 如果 JSON 結果中存在該值,則傳回該值 |
| 憑證 | 如果 JSON 結果中存在該值,則傳回該值 |
| 主機 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha512 | 如果 JSON 結果中存在該值,則傳回該值 |
| compromised_hosts | 如果 JSON 結果中存在該值,則傳回該值 |
| extracted_files | 如果 JSON 結果中存在該值,則傳回該值 |
| analysis_start_time | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| imphash | 如果 JSON 結果中存在該值,則傳回該值 |
| total_network_connections | 如果 JSON 結果中存在該值,則傳回該值 |
| av_detect | 如果 JSON 結果中存在該值,則傳回該值 |
| total_signatures | 如果 JSON 結果中存在該值,則傳回該值 |
| submit_name | 如果 JSON 結果中存在該值,則傳回該值 |
| ssdeep | 如果 JSON 結果中存在該值,則傳回該值 |
| md5 | 如果 JSON 結果中存在該值,則傳回該值 |
| error_origin | 如果 JSON 結果中存在該值,則傳回該值 |
| 程序 | 如果 JSON 結果中存在該值,則傳回該值 |
| shal | 如果 JSON 結果中存在該值,則傳回該值 |
| url_analysis | 如果 JSON 結果中存在該值,則傳回該值 |
| 類型 | 如果 JSON 結果中存在該值,則傳回該值 |
| file_metadata | 如果 JSON 結果中存在該值,則傳回該值 |
| vx_family | 如果 JSON 結果中存在該值,則傳回該值 |
| threat_score | 如果 JSON 結果中存在該值,則傳回該值 |
| 判決 | 如果 JSON 結果中存在該值,則傳回該值 |
| 網域 | 如果 JSON 結果中存在該值,則傳回該值 |
| type_short | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| max_threat_score | 不適用 | 不適用 |
JSON 結果
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
乒乓
測試與 CrowdStrike Falcon Sandbox 的連線。
參數
不適用
用途
不適用
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 成功 | True/False | success:False |
JSON 結果
不適用
搜尋
在 Falcon 資料庫中搜尋現有掃描報表,以及檔案和檔案網址的相關資訊。
參數
| 參數 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案名稱 | 字串 | 不適用 | 否 | 例如:example.exe。 |
| 檔案類型 | 字串 | 不適用 | 否 | 例如 docx。 |
| 檔案類型說明 | 字串 | 不適用 | 否 | 範例:PE32 可執行檔。 |
| 判定結果 | 字串 | 不適用 | 否 | 範例:1 (1=已加入許可清單、2=無判決結果、3=無特定威脅、4=可疑、5=惡意)。 |
| AV Multiscan Range | 字串 | 不適用 | 否 | 例如:50 到 70 (最小值 0,最大值 100)。 |
| AV Family Substring | 字串 | 不適用 | 否 | 例如:Agent.AD、nemucod。 |
| 主題標記 | 字串 | 不適用 | 否 | 例如:勒索軟體 |
| 通訊埠 | 字串 | 不適用 | 否 | 例如:8080 |
| 主機 | 字串 | 不適用 | 否 | 例如:192.0.2.1 |
| 網域 | 字串 | 不適用 | 否 | 範例:checkip.dyndns.org |
| HTTP 要求子字串 | 字串 | 不適用 | 否 | 範例:google |
| 類似範例 | 字串 | 不適用 | 否 | 範例:\<sha256> |
| 範例背景資訊 | 字串 | 不適用 | 否 | 範例:\<sha256> |
用途
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| 結果 | 不適用 | 不適用 |
提交檔案
提交檔案以供分析。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 是 | 要分析的檔案完整路徑。如有多個值,請以半形逗號分隔。 |
| 環境 | 下拉式選單 | Linux | 是 | 可用環境名稱:300:'Linux (Ubuntu 16.04, 64 位元)'、200:'Android 靜態分析'、120:'Windows 7 64 位元'、110:'Windows 7 32 位元 (支援 HWP)'、100:'Windows 7 32 位元'。 預設應為:Linux (Ubuntu 16.04,64 位元) |
用途
不適用
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| job_id | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* |
|
一般 |
等待工作完成並擷取報表
等待掃描工作完成並擷取掃描報告。
參數
| 參數顯示名稱 | 類型 | 預設值 | 為必填項目 | 說明 |
|---|---|---|---|---|
| 工作 ID | 字串 | 不適用 | 是 | 工作 ID。如有多個值,請使用半形逗號分隔值 (值應從先前執行的動作「提交檔案」以預留位置的形式傳遞)。 此外,您也可以手動提供工作 ID。 |
用途
不適用
執行時間
系統不會對實體執行這項操作。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* |
|
一般 |
| 附件 |
|
掃描網址
掃描網址或網域以進行分析。
參數
| 參數顯示名稱 | 類型 | 為必填項目 | 說明 |
|---|---|---|---|
| 門檻 | 整數 | 是 | 如果 AV 偵測次數等於或高於指定門檻,則將實體標示為可疑 |
| 環境名稱 | DDL | 是 | Windows 7 32 位元 Windows 7 32 位元 (支援 HWP) |
用途
分析師可以掃描網址或網域檔案進行分析。
執行時間
這項動作會對下列實體執行:
- 網址
- 主機名稱
動作執行結果
實體擴充
如果 scan_info_res.get('av_detect') > 門檻值 (參數),則將實體標示為可疑。
深入分析
新增洞察資料,並加入以下訊息:CrowdStrike Falcon Sandbox - Entity was marked as malicious by av detection score {av_detect}。門檻設為 - {threshold}。
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
案件總覽
| 結果類型 | 值 / 說明 | 類型 |
|---|---|---|
| 輸出訊息* |
|
一般 |
| 附件 |
|
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。