Joe Sandbox
Versão da integração: 7.0
Configure o Joe Sandbox para funcionar com o Google Security Operations
Para obter a chave de API, navegue para Definições do utilizador no Joe Sandbox: chave de API.
Configure a integração do Joe Sandbox no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Ações
Detonar ficheiro
Descrição
Execute um ficheiro no Joe Sandbox e obtenha uma análise dos resultados.
Parâmetros
| Parâmetro | Tipo | Valor predefinido | Descrição |
|---|---|---|---|
| Caminhos de ficheiros | String | N/A | Os caminhos dos ficheiros a analisar separados por vírgulas. |
| Comentário | String | N/A | O comentário a adicionar à entrada. |
| Formato do relatório | String | N/A | O formato do relatório. |
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas (verdadeiro) se excederem o limite.
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso do ficheiro enriquecido. A estatística é criada quando o número de motores detetados é igual ou superior ao limite suspeito mínimo definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| ScriptResult | Verdadeiro/Falso | ScriptResult:False |
Resultado JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Tchim-tchim
Descrição
Verifica se o utilizador tem uma ligação ao Joe Sandbox através do respetivo dispositivo.
Parâmetros
N/A
Executar em
Esta ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidades
N/A
Estatísticas
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connect | Verdadeiro/Falso | is_connect:False |
Resultado JSON
N/A
Hash de pesquisa
Descrição
Pesquise um hash nos registos da sandbox.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade Filehash.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas (verdadeiro) se excederem o limite.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| estado | Devolve se existir no resultado JSON |
| corridas | Devolve se existir no resultado JSON |
| sha1 | Devolve se existir no resultado JSON |
| etiquetas | Devolve se existir no resultado JSON |
| webid | Devolve se existir no resultado JSON |
| comentários | Devolve se existir no resultado JSON |
| filename | Devolve se existir no resultado JSON |
| scriptname | Devolve se existir no resultado JSON |
| tempo | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| analysisid | Devolve se existir no resultado JSON |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso do hash enriquecido. A estatística é criada quando o número de motores detetados é igual ou superior ao limite suspeito mínimo definido antes da análise. |
URL de pesquisa
Descrição
Pesquise um URL em registos do sandbox.
Parâmetros
N/A
Executar em
Esta ação é executada na entidade URL.
Resultados da ação
Enriquecimento de entidades
As entidades são marcadas como suspeitas (verdadeiro) se excederem o limite.
| Nome do campo de enriquecimento | Lógica: quando aplicar |
|---|---|
| estado | Devolve se existir no resultado JSON |
| corridas | Devolve se existir no resultado JSON |
| sha1 | Devolve se existir no resultado JSON |
| etiquetas | Devolve se existir no resultado JSON |
| webid | Devolve se existir no resultado JSON |
| comentários | Devolve se existir no resultado JSON |
| filename | Devolve se existir no resultado JSON |
| scriptname | Devolve se existir no resultado JSON |
| tempo | Devolve se existir no resultado JSON |
| duração | Devolve se existir no resultado JSON |
| sha256 | Devolve se existir no resultado JSON |
| md5 | Devolve se existir no resultado JSON |
| analysisid | Devolve se existir no resultado JSON |
Estatísticas
| Gravidade | Descrição |
|---|---|
| Avisar | É criado um insight de aviso para informar sobre o estado malicioso do URL enriquecido. A estatística é criada quando o número de motores detetados é igual ou superior ao limite suspeito mínimo definido antes da análise. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.