Joe Sandbox
Integrationsversion: 7.0
Joe Sandbox für die Verwendung mit Google Security Operations konfigurieren
Um einen API-Schlüssel zu erhalten, rufen Sie in Joe Sandbox die Nutzereinstellungen – API-Schlüssel auf.
Joe Sandbox-Integration in Google SecOps konfigurieren
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Aktionen
Datei zur Analyse senden
Beschreibung
Führen Sie eine Datei in Joe Sandbox aus und rufen Sie eine Analyse der Ergebnisse ab.
Parameter
| Parameter | Typ | Standardwert | Beschreibung |
|---|---|---|---|
| Dateipfade | String | – | Die Pfade der zu scannenden Dateien, durch Kommas getrennt. |
| Kommentar | String | – | Der Kommentar, der dem Eintrag hinzugefügt werden soll. |
| Report Format | String | – | Das Format des Berichts. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es wird ein Warnhinweis erstellt, um über den schädlichen Status der angereicherten Datei zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| ScriptResult | Wahr/falsch | ScriptResult:False |
JSON-Ergebnis
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Beschreibung
Prüft, ob der Nutzer über sein Gerät eine Verbindung zu Joe Sandbox hat.
Parameter
–
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
–
Statistiken
–
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_connect | Wahr/falsch | is_connect:False |
JSON-Ergebnis
N/A
Such-Hash
Beschreibung
Suchen Sie in Sandbox-Datensätzen nach einem Hash.
Parameter
–
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Läufe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| webid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Kommentare | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| filename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| scriptname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dauer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| analysisid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es wird eine Warnung erstellt, um über den schädlichen Status des angereicherten Hash zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Such-URL
Beschreibung
Nach einer URL in Sandbox-Datensätzen suchen
Parameter
–
Ausführen am
Diese Aktion wird für die URL-Entität ausgeführt.
Aktionsergebnisse
Entitätsanreicherung
Entitäten werden als „Verdächtig“ (Wahr) markiert, wenn sie den Grenzwert überschreiten.
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Status | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Läufe | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Tags | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| webid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Kommentare | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| filename | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| scriptname | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Zeit | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Dauer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| analysisid | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Statistiken
| Schweregrad | Beschreibung |
|---|---|
| Warnen | Es wird ein Warnhinweis erstellt, um über den schädlichen Status der angereicherten URL zu informieren. Die Statistik wird erstellt, wenn die Anzahl der erkannten Engines den vor dem Scan festgelegten Mindestschwellenwert für verdächtige Aktivitäten erreicht oder überschreitet. |
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten