Joe Sandbox
Versione integrazione: 7.0
Configurare Joe Sandbox in modo che funzioni con Google Security Operations
Per ottenere la chiave API, vai a User Settings (Impostazioni utente) in Joe Sandbox - API Key (Chiave API).
Configurare l'integrazione di Joe Sandbox in Google SecOps
Per istruzioni dettagliate su come configurare un'integrazione in Google SecOps, vedi Configurare le integrazioni.
Azioni
Detonate File
Descrizione
Esegui un file in Joe Sandbox e recupera un'analisi dei risultati.
Parametri
| Parametro | Tipo | Valore predefinito | Descrizione |
|---|---|---|---|
| Percorsi file | Stringa | N/D | I percorsi dei file da analizzare separati da virgole. |
| Commento | Stringa | N/D | Il commento da aggiungere alla voce. |
| Formato del report | Stringa | N/D | Il formato del report. |
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano la soglia.
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso del file arricchito. L'insight verrà creato quando il numero di motori rilevati è pari o superiore alla soglia minima sospetta impostata prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| ScriptResult | Vero/Falso | ScriptResult:False |
Risultato JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Dindin
Descrizione
Verifica che l'utente abbia una connessione a Joe Sandbox tramite il proprio dispositivo.
Parametri
N/D
Run On
Questa azione viene eseguita su tutte le entità.
Risultati dell'azione
Arricchimento delle entità
N/D
Approfondimenti
N/D
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_connect | Vero/Falso | is_connect:False |
Risultato JSON
N/A
Hash di ricerca
Descrizione
Cercare un hash nei record sandbox.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità Filehash.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano la soglia.
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| stato | Restituisce se esiste nel risultato JSON |
| corse | Restituisce se esiste nel risultato JSON |
| sha1 | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| webid | Restituisce se esiste nel risultato JSON |
| commenti | Restituisce se esiste nel risultato JSON |
| filename | Restituisce se esiste nel risultato JSON |
| scriptname | Restituisce se esiste nel risultato JSON |
| tempo | Restituisce se esiste nel risultato JSON |
| duration | Restituisce se esiste nel risultato JSON |
| sha256 | Restituisce se esiste nel risultato JSON |
| md5 | Restituisce se esiste nel risultato JSON |
| analysisid | Restituisce se esiste nel risultato JSON |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'hash arricchito. L'insight verrà creato quando il numero di motori rilevati è pari o superiore alla soglia minima sospetta impostata prima della scansione. |
URL di ricerca
Descrizione
Cerca un URL nei record sandbox.
Parametri
N/D
Run On
Questa azione viene eseguita sull'entità URL.
Risultati dell'azione
Arricchimento delle entità
Le entità vengono contrassegnate come sospette (True) se superano la soglia.
| Nome campo di arricchimento | Logica - Quando applicarla |
|---|---|
| stato | Restituisce se esiste nel risultato JSON |
| corse | Restituisce se esiste nel risultato JSON |
| sha1 | Restituisce se esiste nel risultato JSON |
| Tag | Restituisce se esiste nel risultato JSON |
| webid | Restituisce se esiste nel risultato JSON |
| commenti | Restituisce se esiste nel risultato JSON |
| filename | Restituisce se esiste nel risultato JSON |
| scriptname | Restituisce se esiste nel risultato JSON |
| tempo | Restituisce se esiste nel risultato JSON |
| duration | Restituisce se esiste nel risultato JSON |
| sha256 | Restituisce se esiste nel risultato JSON |
| md5 | Restituisce se esiste nel risultato JSON |
| analysisid | Restituisce se esiste nel risultato JSON |
Approfondimenti
| Gravità | Descrizione |
|---|---|
| Avviso | Verrà creato un approfondimento di avviso per informare sullo stato dannoso dell'URL arricchito. L'insight verrà creato quando il numero di motori rilevati è pari o superiore alla soglia minima sospetta impostata prima della scansione. |
Risultato script
| Nome del risultato dello script | Opzioni di valore | Esempio |
|---|---|---|
| is_success | Vero/Falso | is_success:False |
Risultato JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.