Joe Sandbox
Versión de la integración: 7.0
Configura Joe Sandbox para que funcione con Google Security Operations
Para obtener la clave de API, navega a User Settings en Joe Sandbox: API Key.
Configura la integración de Joe Sandbox en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Detonate File
Descripción
Ejecuta un archivo en Joe Sandbox y recupera un análisis de los resultados.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Rutas de acceso de los archivos | String | N/A | Rutas de acceso de los archivos que se analizarán, separadas por comas. |
| Comentario | String | N/A | Comentario que se agregará a la entrada. |
| Report Format | String | N/A | Es el formato del informe. |
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral.
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del archivo enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| ScriptResult | Verdadero/Falso | ScriptResult:False |
Resultado de JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Descripción
Verifica que el usuario tenga una conexión a Joe Sandbox a través de su dispositivo.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_connect | Verdadero/Falso | is_connect:False |
Resultado de JSON
N/A
Hash de búsqueda
Descripción
Busca un hash en los registros de la zona de pruebas.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| estado | Devuelve si existe en el resultado JSON. |
| carreras | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| webid | Devuelve si existe en el resultado JSON. |
| comentarios | Devuelve si existe en el resultado JSON. |
| filename | Devuelve si existe en el resultado JSON. |
| scriptname | Devuelve si existe en el resultado JSON. |
| hora | Devuelve si existe en el resultado JSON. |
| duración | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| analysisid | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso del hash enriquecido. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
URL de búsqueda
Descripción
Buscar una URL en los registros de la zona de pruebas
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en la entidad de URL.
Resultados de la acción
Enriquecimiento de entidades
Las entidades se marcan como sospechosas (verdadero) si superan el umbral.
| Nombre del campo de enriquecimiento | Lógica: Cuándo aplicar |
|---|---|
| estado | Devuelve si existe en el resultado JSON. |
| carreras | Devuelve si existe en el resultado JSON. |
| sha1 | Devuelve si existe en el resultado JSON. |
| etiquetas | Devuelve si existe en el resultado JSON. |
| webid | Devuelve si existe en el resultado JSON. |
| comentarios | Devuelve si existe en el resultado JSON. |
| filename | Devuelve si existe en el resultado JSON. |
| scriptname | Devuelve si existe en el resultado JSON. |
| hora | Devuelve si existe en el resultado JSON. |
| duración | Devuelve si existe en el resultado JSON. |
| sha256 | Devuelve si existe en el resultado JSON. |
| md5 | Devuelve si existe en el resultado JSON. |
| analysisid | Devuelve si existe en el resultado JSON. |
Estadísticas
| Gravedad | Descripción |
|---|---|
| Advertencia | Se creará una estadística de advertencia para informar sobre el estado malicioso de la URL enriquecida. La estadística se creará cuando la cantidad de motores detectados sea igual o superior al umbral mínimo de sospecha establecido antes del análisis. |
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.