Joe Sandbox
Version de l'intégration : 7.0
Configurer Joe Sandbox pour qu'il fonctionne avec Google Security Operations
Pour obtenir une clé API, accédez à User Settings (Paramètres utilisateur) > API Key (Clé API) dans Joe Sandbox.
Configurer l'intégration de Joe Sandbox dans Google SecOps
Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Actions
Faire exploser le fichier
Description
Exécutez un fichier dans Joe Sandbox et récupérez une analyse des résultats.
Paramètres
| Paramètre | Type | Valeur par défaut | Description |
|---|---|---|---|
| Chemins des fichiers | Chaîne | N/A | Chemins d'accès aux fichiers à analyser, séparés par une virgule. |
| Commentaire | Chaîne | N/A | Commentaire à ajouter à l'entrée. |
| Report Format (Format du rapport) | Chaîne | N/A | Format du rapport. |
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement sera créé pour vous informer de l'état malveillant du fichier enrichi. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| ScriptResult | Vrai/Faux | ScriptResult:False |
Résultat JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Description
Vérifie que l'utilisateur est connecté à Joe Sandbox via son appareil.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur toutes les entités.
Résultats de l'action
Enrichissement d'entités
N/A
Insights
N/A
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_connect | Vrai/Faux | is_connect:False |
Résultat JSON
N/A
Hachage de recherche
Description
Recherchez un hachage dans les enregistrements du bac à sable.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité Filehash.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| courses | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| tags | Renvoie la valeur si elle existe dans le résultat JSON. |
| webid | Renvoie la valeur si elle existe dans le résultat JSON. |
| commentaires | Renvoie la valeur si elle existe dans le résultat JSON. |
| filename | Renvoie la valeur si elle existe dans le résultat JSON. |
| scriptname | Renvoie la valeur si elle existe dans le résultat JSON. |
| temps | Renvoie la valeur si elle existe dans le résultat JSON. |
| duration | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| analysisid | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement sera créé pour informer de l'état malveillant du hachage enrichi. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse. |
URL de recherche
Description
Recherchez une URL dans les enregistrements du bac à sable.
Paramètres
N/A
Exécuter sur
Cette action s'exécute sur l'entité URL.
Résultats de l'action
Enrichissement d'entités
Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.
| Nom du champ d'enrichissement | Logique : quand les utiliser ? |
|---|---|
| état | Renvoie la valeur si elle existe dans le résultat JSON. |
| courses | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha1 | Renvoie la valeur si elle existe dans le résultat JSON. |
| tags | Renvoie la valeur si elle existe dans le résultat JSON. |
| webid | Renvoie la valeur si elle existe dans le résultat JSON. |
| commentaires | Renvoie la valeur si elle existe dans le résultat JSON. |
| filename | Renvoie la valeur si elle existe dans le résultat JSON. |
| scriptname | Renvoie la valeur si elle existe dans le résultat JSON. |
| temps | Renvoie la valeur si elle existe dans le résultat JSON. |
| duration | Renvoie la valeur si elle existe dans le résultat JSON. |
| sha256 | Renvoie la valeur si elle existe dans le résultat JSON. |
| md5 | Renvoie la valeur si elle existe dans le résultat JSON. |
| analysisid | Renvoie la valeur si elle existe dans le résultat JSON. |
Insights
| Gravité | Description |
|---|---|
| Avertissement | Un insight d'avertissement sera créé pour vous informer de l'état malveillant de l'URL enrichie. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse. |
Résultat du script
| Nom du résultat du script | Options de valeur | Exemple |
|---|---|---|
| is_success | Vrai/Faux | is_success:False |
Résultat JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.