Joe Sandbox
Este documento fornece orientações sobre como integrar o Joe Sandbox ao Google SecOps.
Configurar o Joe Sandbox para trabalhar com o Google Security Operations
Para conseguir a chave de API, acesse Configurações do usuário no Joe Sandbox > Chave de API.
Configurar a integração do Joe Sandbox no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Ações
Detonar arquivo
Descrição
Executar um arquivo no Joe Sandbox e recuperar uma análise dos resultados.
Parâmetros
| Parâmetro | Tipo | Valor padrão | Descrição |
|---|---|---|---|
| Caminhos de arquivos | String | N/A | Os caminhos dos arquivos a serem verificados, separados por vírgulas. |
| Comentário | String | N/A | O comentário a ser adicionado à entrada. |
| Formato do relatório | String | N/A | O formato do relatório. |
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidade
As entidades são marcadas como "Suspeitas (True)" se excederem o limite.
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do arquivo enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| ScriptResult | Verdadeiro/falso | ScriptResult:False |
Resultado do JSON
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
Descrição
Verifica se o usuário tem uma conexão com o Joe Sandbox pelo dispositivo dele.
Parâmetros
N/A
Executar em
Essa ação é executada em todas as entidades.
Resultados da ação
Enriquecimento de entidade
N/A
Insights
N/A
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_connect | Verdadeiro/falso | is_connect:False |
Resultado do JSON
N/A
Hash de pesquisa
Descrição
Pesquisar um hash em registros de sandbox.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade "Filehash".
Resultados da ação
Enriquecimento de entidade
As entidades são marcadas como "Suspeitas (True)" se excederem o limite.
| Nome do campo de aprimoramento | Lógica: quando aplicar |
|---|---|
| status | Retorna se ele existe no resultado JSON |
| execuções | Retorna se ele existe no resultado JSON |
| sha1 | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| webid | Retorna se ele existe no resultado JSON |
| comentários | Retorna se ele existe no resultado JSON |
| filename | Retorna se ele existe no resultado JSON |
| scriptname | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| duration | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| analysisid | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do hash enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
URL de pesquisa
Descrição
Pesquisar um URL em registros da sandbox.
Parâmetros
N/A
Executar em
Essa ação é executada na entidade de URL.
Resultados da ação
Enriquecimento de entidade
As entidades são marcadas como "Suspeitas (True)" se excederem o limite.
| Nome do campo de aprimoramento | Lógica: quando aplicar |
|---|---|
| status | Retorna se ele existe no resultado JSON |
| execuções | Retorna se ele existe no resultado JSON |
| sha1 | Retorna se ele existe no resultado JSON |
| tags | Retorna se ele existe no resultado JSON |
| webid | Retorna se ele existe no resultado JSON |
| comentários | Retorna se ele existe no resultado JSON |
| filename | Retorna se ele existe no resultado JSON |
| scriptname | Retorna se ele existe no resultado JSON |
| tempo | Retorna se ele existe no resultado JSON |
| duration | Retorna se ele existe no resultado JSON |
| sha256 | Retorna se ele existe no resultado JSON |
| md5 | Retorna se ele existe no resultado JSON |
| analysisid | Retorna se ele existe no resultado JSON |
Insights
| Gravidade | Descrição |
|---|---|
| Avisar | Um insight de aviso será criado para informar sobre o status malicioso do URL enriquecido. O insight será criado quando o número de mecanismos detectados for igual ou maior que o limite mínimo de suspeita definido antes da verificação. |
Resultado do script
| Nome do resultado do script | Opções de valor | Exemplo |
|---|---|---|
| is_success | Verdadeiro/falso | is_success:False |
Resultado do JSON
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.