Joe Sandbox

Dieses Dokument enthält eine Anleitung zur Integration von Joe Sandbox in Google SecOps.

Joe Sandbox für die Verwendung mit Google Security Operations konfigurieren

Um einen API-Schlüssel zu erhalten, rufen Sie in Joe Sandbox die Nutzereinstellungen – API-Schlüssel auf.

Joe Sandbox-Integration in Google SecOps konfigurieren

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Aktionen

Datei zur Analyse senden

Beschreibung

Führen Sie eine Datei in Joe Sandbox aus und rufen Sie eine Analyse der Ergebnisse ab.

Parameter

Parameter	Typ	Standardwert	Beschreibung
Dateipfade	String	–	Die Pfade der zu scannenden Dateien, durch Kommas getrennt.
Kommentar	String	–	Der Kommentar, der dem Eintrag hinzugefügt werden soll.
Report Format	String	–	Das Format des Berichts.

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.

Statistiken

Schweregrad	Beschreibung
Warnen	Es wird ein Warnhinweis erstellt, um über den schädlichen Status der angereicherten Datei zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Elemente erreicht oder überschreitet.

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
ScriptResult	Wahr/falsch	ScriptResult:False

JSON-Ergebnis

{
   "path\\\\mocks.txt":
      {
         "status": "finished",
         "runs":
           [{
               "detection": "clean",
               "yara": false,
               "system": "w7_1",
               "error": null
             },{
               "detection": "clean",
               "yara": false,
               "system": "w7x64",
               "error": null
            }],
         "sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
         "tags": [],
         "webid": "773601",
         "comments": "testing",
         "filename": "mocks.txt",
         "scriptname": "default.jbs",
         "time": "2019-01-21T11:21:20+01:00",
         "duration": 530,
         "sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
         "md5": "502cddb08849eb191386017dfca05670",
         "analysisid": "765760"
      }
}

Ping

Beschreibung

Prüft, ob der Nutzer über sein Gerät eine Verbindung zu Joe Sandbox hat.

Parameter

–

Ausführen am

Diese Aktion wird für alle Elemente ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

–

Statistiken

–

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_connect	Wahr/falsch	is_connect:False

JSON-Ergebnis

N/A

Such-Hash

Beschreibung

Suchen Sie in Sandbox-Datensätzen nach einem Hash.

Parameter

–

Ausführen am

Diese Aktion wird für die Filehash-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.

Name des Anreicherungsfelds	Logik – Wann anwenden?
Status	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Läufe	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
sha1	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Tags	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
webid	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Kommentare	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
filename	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
scriptname	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Zeit	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Dauer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
sha256	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
md5	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
analysisid	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

Schweregrad	Beschreibung
Warnen	Es wird eine Warnung erstellt, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Elemente erreicht oder überschreitet.

Such-URL

Beschreibung

Nach einer URL in Sandbox-Datensätzen suchen

Parameter

–

Ausführen am

Diese Aktion wird für die URL-Entität ausgeführt.

Aktionsergebnisse

Entitätsanreicherung

Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.

Name des Anreicherungsfelds	Logik – Wann anwenden?
Status	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Läufe	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
sha1	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Tags	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
webid	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Kommentare	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
filename	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
scriptname	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Zeit	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
Dauer	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
sha256	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
md5	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.
analysisid	Gibt zurück, ob es im JSON-Ergebnis vorhanden ist.

Statistiken

Schweregrad	Beschreibung
Warnen	Es wird eine Warnung erstellt, um über den schädlichen Status der angereicherten URL zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Elemente erreicht oder überschreitet.

Scriptergebnis

Name des Scriptergebnisses	Wertoptionen	Beispiel
is_success	Wahr/falsch	is_success:False

JSON-Ergebnis

[{
   "EntityResult":
     {
        "status": "finished",
        "runs":
           [{
              "detection": "clean",
              "yara": false,
              "system": "w7_1",
              "error": null
            },{
              "detection": "clean",
              "yara": false,
              "system": "w7x64",
              "error": null
           }],
       "sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
       "tags": [],
       "webid": "773601",
       "comments": "testing",
       "filename": "mocks.txt",
       "scriptname": "default.jbs",
       "time": "2019-01-21T11:21:20+01:00",
       "duration": 530,
       "sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
       "md5": "502cddb08849eb191386017dfca05670",
       "analysisid": "765760"
      },
   "Entity": "https://sampleweb.com"
}]

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten