Joe Sandbox
Versão da integração: 7.0
Configurar o Joe Sandbox para trabalhar com as Operações de segurança do Google
Para conseguir a chave de API, acesse Configurações do usuário no Joe Sandbox > Chave de API.
Configurar a integração do Joe Sandbox no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Detonar arquivo
Descrição
Execute um arquivo no Joe Sandbox e recupere uma análise dos resultados.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Caminhos de arquivos | String | N/A | Os caminhos dos arquivos a serem verificados, separados por vírgulas. |
| Comentário | String | N/A | O comentário a ser adicionado à entrada. |
| Formato do relatório | String | N/A | O formato do relatório. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite.
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do arquivo enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| ScriptResult | Verdadeiro/Falso | ScriptResult:False |
Resultado do JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Descrição
Verifica se o usuário tem uma conexão com o Joe Sandbox pelo dispositivo dele.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connect | Verdadeiro/Falso | is_connect:False |
Resultado do JSON
N/A
Hash de pesquisa
Descrição
Pesquisar um hash em registros de sandbox.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| status | Retorna se ele existe no resultado JSON |
| execuções | Retorna se ele existe no resultado JSON |
| sha1 | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| webid | Retorna se ele existe no resultado JSON |
| comentários | Retorna se ele existe no resultado JSON |
| filename | Retorna se ele existe no resultado JSON |
| scriptname | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| duration | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| analysisid | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
URL de pesquisa
Descrição
Pesquisar um URL em registros da sandbox.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como "Suspeitas (verdadeiro)" se excederem o limite.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| status | Retorna se ele existe no resultado JSON |
| execuções | Retorna se ele existe no resultado JSON |
| sha1 | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| webid | Retorna se ele existe no resultado JSON |
| comentários | Retorna se ele existe no resultado JSON |
| filename | Retorna se ele existe no resultado JSON |
| scriptname | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| duration | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| analysisid | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do URL enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.