Joe Sandbox

Ce document explique comment intégrer Joe Sandbox à Google SecOps.

Configurer Joe Sandbox pour qu'il fonctionne avec Google Security Operations

Pour obtenir une clé API, accédez à User Settings (Paramètres utilisateur) dans Joe Sandbox > API Key (Clé API).

Configurer l'intégration de Joe Sandbox dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Faire exploser le fichier

Description

Exécutez un fichier dans Joe Sandbox et récupérez une analyse des résultats.

Paramètres

Paramètre	Type	Valeur par défaut	Description
Chemins des fichiers	Chaîne	N/A	Chemins d'accès aux fichiers à analyser, séparés par une virgule.
Commentaire	Chaîne	N/A	Commentaire à ajouter à l'entrée.
Report Format (Format du rapport)	Chaîne	N/A	Format du rapport.

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.

Insights

Gravité	Description
Avertissement	Un insight d'avertissement sera créé pour vous informer de l'état malveillant du fichier enrichi. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse.

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
ScriptResult	Vrai/Faux	ScriptResult:False

Résultat JSON

{
   "path\\\\mocks.txt":
      {
         "status": "finished",
         "runs":
           [{
               "detection": "clean",
               "yara": false,
               "system": "w7_1",
               "error": null
             },{
               "detection": "clean",
               "yara": false,
               "system": "w7x64",
               "error": null
            }],
         "sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
         "tags": [],
         "webid": "773601",
         "comments": "testing",
         "filename": "mocks.txt",
         "scriptname": "default.jbs",
         "time": "2019-01-21T11:21:20+01:00",
         "duration": 530,
         "sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
         "md5": "502cddb08849eb191386017dfca05670",
         "analysisid": "765760"
      }
}

Ping

Description

Vérifie que l'utilisateur est connecté à Joe Sandbox via son appareil.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_connect	Vrai/Faux	is_connect:False

Résultat JSON

N/A

Hachage de recherche

Description

Recherchez un hachage dans les enregistrements du bac à sable.

Paramètres

N/A

Exécuter sur

Cette action s'exécute sur l'entité Filehash.

Résultats de l'action

Enrichissement d'entités

Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
état	Renvoie la valeur si elle existe dans le résultat JSON
courses	Renvoie la valeur si elle existe dans le résultat JSON
sha1	Renvoie la valeur si elle existe dans le résultat JSON
tags	Renvoie la valeur si elle existe dans le résultat JSON
webid	Renvoie la valeur si elle existe dans le résultat JSON
commentaires	Renvoie la valeur si elle existe dans le résultat JSON
filename	Renvoie la valeur si elle existe dans le résultat JSON
scriptname	Renvoie la valeur si elle existe dans le résultat JSON
heure	Renvoie la valeur si elle existe dans le résultat JSON
duration	Renvoie la valeur si elle existe dans le résultat JSON
sha256	Renvoie la valeur si elle existe dans le résultat JSON
md5	Renvoie la valeur si elle existe dans le résultat JSON
analysisid	Renvoie la valeur si elle existe dans le résultat JSON

Insights

Gravité	Description
Avertissement	Un insight d'avertissement sera créé pour informer de l'état malveillant du hachage enrichi. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse.

URL de recherche

Description

Recherchez une URL dans les enregistrements du bac à sable.

Paramètres

N/A

Exécuter sur

Cette action s'applique à l'entité URL.

Résultats de l'action

Enrichissement d'entités

Les entités sont marquées comme suspectes (True) si elles dépassent le seuil.

Nom du champ d'enrichissement	Logique : quand l'appliquer ?
état	Renvoie la valeur si elle existe dans le résultat JSON
courses	Renvoie la valeur si elle existe dans le résultat JSON
sha1	Renvoie la valeur si elle existe dans le résultat JSON
tags	Renvoie la valeur si elle existe dans le résultat JSON
webid	Renvoie la valeur si elle existe dans le résultat JSON
commentaires	Renvoie la valeur si elle existe dans le résultat JSON
filename	Renvoie la valeur si elle existe dans le résultat JSON
scriptname	Renvoie la valeur si elle existe dans le résultat JSON
heure	Renvoie la valeur si elle existe dans le résultat JSON
duration	Renvoie la valeur si elle existe dans le résultat JSON
sha256	Renvoie la valeur si elle existe dans le résultat JSON
md5	Renvoie la valeur si elle existe dans le résultat JSON
analysisid	Renvoie la valeur si elle existe dans le résultat JSON

Insights

Gravité	Description
Avertissement	Un insight d'avertissement sera créé pour vous informer de l'état malveillant de l'URL enrichie. L'insight est créé lorsque le nombre de moteurs détectés est égal ou supérieur au seuil de suspicion minimal défini avant l'analyse.

Résultat du script

Nom du résultat du script	Options de valeur	Exemple
is_success	Vrai/Faux	is_success:False

Résultat JSON

[{
   "EntityResult":
     {
        "status": "finished",
        "runs":
           [{
              "detection": "clean",
              "yara": false,
              "system": "w7_1",
              "error": null
            },{
              "detection": "clean",
              "yara": false,
              "system": "w7x64",
              "error": null
           }],
       "sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
       "tags": [],
       "webid": "773601",
       "comments": "testing",
       "filename": "mocks.txt",
       "scriptname": "default.jbs",
       "time": "2019-01-21T11:21:20+01:00",
       "duration": 530,
       "sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
       "md5": "502cddb08849eb191386017dfca05670",
       "analysisid": "765760"
      },
   "Entity": "https://sampleweb.com"
}]

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.