Joe Sandbox
本文档提供了有关如何将 Joe Sandbox 与 Google SecOps 集成的指南。
配置 Joe Sandbox 以与 Google Security Operations 搭配使用
如需获取 API 密钥,请依次前往 Joe Sandbox 中的用户设置 - API 密钥。
在 Google SecOps 中配置 Joe Sandbox 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
引爆文件
说明
在 Joe Sandbox 中运行文件并检索分析结果。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 文件路径 | 字符串 | 不适用 | 要扫描的文件的路径(以英文逗号分隔)。 |
| 评论 | 字符串 | 不适用 | 要添加到条目的评论。 |
| 报告格式 | 字符串 | 不适用 | 报告的格式。 |
Run On
此操作会针对所有实体运行。
操作执行结果
实体扩充
如果实体超过阈值,则标记为可疑 (True)。
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统会生成一条警告数据洞见,告知您富集文件的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会创建数据分析。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| ScriptResult | True/False | ScriptResult:False |
JSON 结果
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
Ping
说明
验证用户是否通过自己的设备连接到 Joe Sandbox。
参数
不适用
Run On
此操作会针对所有实体运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_connect | True/False | is_connect:False |
JSON 结果
N/A
搜索哈希
说明
在沙盒记录中搜索哈希。
参数
不适用
Run On
此操作在 Filehash 实体上运行。
操作执行结果
实体扩充
如果实体超过阈值,则标记为可疑 (True)。
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 状态 | 如果存在于 JSON 结果中,则返回 |
| 跑步 | 如果存在于 JSON 结果中,则返回 |
| sha1 | 如果存在于 JSON 结果中,则返回 |
| 标签 | 如果存在于 JSON 结果中,则返回 |
| webid | 如果存在于 JSON 结果中,则返回 |
| 评论 | 如果存在于 JSON 结果中,则返回 |
| filename | 如果存在于 JSON 结果中,则返回 |
| scriptname | 如果存在于 JSON 结果中,则返回 |
| 时间 | 如果存在于 JSON 结果中,则返回 |
| 时长 | 如果存在于 JSON 结果中,则返回 |
| sha256 | 如果存在于 JSON 结果中,则返回 |
| md5 | 如果存在于 JSON 结果中,则返回 |
| analysisid | 如果存在于 JSON 结果中,则返回 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统会创建一条警告数据分析,以告知富化哈希的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会创建数据分析。 |
搜索网址
说明
在沙盒记录中搜索网址。
参数
不适用
Run On
此操作在网址实体上运行。
操作执行结果
实体扩充
如果实体超过阈值,则标记为可疑 (True)。
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 状态 | 如果存在于 JSON 结果中,则返回 |
| 跑步 | 如果存在于 JSON 结果中,则返回 |
| sha1 | 如果存在于 JSON 结果中,则返回 |
| 标签 | 如果存在于 JSON 结果中,则返回 |
| webid | 如果存在于 JSON 结果中,则返回 |
| 评论 | 如果存在于 JSON 结果中,则返回 |
| filename | 如果存在于 JSON 结果中,则返回 |
| scriptname | 如果存在于 JSON 结果中,则返回 |
| 时间 | 如果存在于 JSON 结果中,则返回 |
| 时长 | 如果存在于 JSON 结果中,则返回 |
| sha256 | 如果存在于 JSON 结果中,则返回 |
| md5 | 如果存在于 JSON 结果中,则返回 |
| analysisid | 如果存在于 JSON 结果中,则返回 |
数据分析
| 严重程度 | 说明 |
|---|---|
| 警告 | 系统将创建警告数据洞见,以告知富集网址的恶意状态。当检测到的引擎数量达到或超过扫描前设置的最低可疑阈值时,系统会创建数据分析。 |
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。