Joe Sandbox
Versión de integración: 7.0
Configurar Joe Sandbox para que funcione con Google Security Operations
Para obtener la clave de API, ve a User Settings (Configuración de usuario) en Joe Sandbox - API Key (Clave de API).
Configurar la integración de Joe Sandbox en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Acciones
Detonate File
Descripción
Ejecuta un archivo en Joe Sandbox y obtén un análisis de los resultados.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Rutas de archivo | Cadena | N/A | Rutas de los archivos que se van a analizar separadas por comas. |
| Comentario | Cadena | N/A | El comentario que se va a añadir a la entrada. |
| Formato de informe | Cadena | N/A | El formato del informe. |
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral.
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una alerta para informar sobre el estado malicioso del archivo enriquecido. La estadística se creará cuando el número de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| ScriptResult | Verdadero/Falso | ScriptResult:False |
Resultado de JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Descripción
Verifica que el usuario tiene una conexión con Joe Sandbox a través de su dispositivo.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connect | Verdadero/Falso | is_connect:False |
Resultado de JSON
N/A
Buscar hash
Descripción
Buscar un hash en los registros de la zona de pruebas.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral.
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| status | Devuelve si existe en el resultado JSON. |
| ejecuciones | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| webid | Devuelve si existe en el resultado JSON. |
| comentarios | Devuelve si existe en el resultado JSON. |
| filename | Devuelve si existe en el resultado JSON. |
| scriptname | Devuelve si existe en el resultado JSON. |
| Tiempo | Devuelve si existe en el resultado JSON. |
| duración | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| analysisid | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando el número de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
URL de búsqueda
Descripción
Buscar una URL en los registros del sandbox.
Parámetros
N/A
Fecha de ejecución
Esta acción se ejecuta en la entidad URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (True) si superan el umbral.
| Nombre del campo de enriquecimiento | Lógica: cuándo aplicar |
|---|---|
| status | Devuelve si existe en el resultado JSON. |
| ejecuciones | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| webid | Devuelve si existe en el resultado JSON. |
| comentarios | Devuelve si existe en el resultado JSON. |
| filename | Devuelve si existe en el resultado JSON. |
| scriptname | Devuelve si existe en el resultado JSON. |
| Tiempo | Devuelve si existe en el resultado JSON. |
| duración | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| analysisid | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertir | Se creará una estadística de advertencia para informar sobre el estado malicioso de la URL enriquecida. La estadística se creará cuando el número de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.