Joe Sandbox
整合版本:7.0
設定 Joe Sandbox 以與 Google Security Operations 搭配使用
如要取得 API 金鑰,請前往 Joe Sandbox 的「User Settings」-「API Key」。
在 Google SecOps 中設定 Joe Sandbox 整合
如需在 Google SecOps 中設定整合功能的詳細操作說明,請參閱「設定整合功能」。
動作
引爆檔案
說明
在 Joe Sandbox 中執行檔案,並擷取分析結果。
參數
| 參數 | 類型 | 預設值 | 說明 |
|---|---|---|---|
| 檔案路徑 | 字串 | 不適用 | 要掃描的檔案路徑 (以半形逗號分隔)。 |
| 註解 | 字串 | 不適用 | 要新增至項目的註解。 |
| 報表格式 | 字串 | 不適用 | 報表格式。 |
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資料,通知您經過擴增的檔案是否含有惡意內容。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| ScriptResult | True/False | ScriptResult:False |
JSON 結果
{
"path\\\\mocks.txt":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
}
}
乒乓
說明
確認使用者透過裝置連線至 Joe Sandbox。
參數
不適用
執行時間
這項操作會對所有實體執行。
動作執行結果
實體擴充
不適用
深入分析
不適用
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_connect | True/False | is_connect:False |
JSON 結果
N/A
搜尋雜湊
說明
在沙箱記錄中搜尋雜湊。
參數
不適用
執行時間
這項動作會對 Filehash 實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| 跑步 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha1 | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| webid | 如果 JSON 結果中存在該值,則傳回該值 |
| 留言 | 如果 JSON 結果中存在該值,則傳回該值 |
| filename | 如果 JSON 結果中存在該值,則傳回該值 |
| scriptname | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| 持續時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| md5 | 如果 JSON 結果中存在該值,則傳回該值 |
| analysisid | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告深入分析,說明經過擴充的雜湊值是否為惡意。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
搜尋網址
說明
在沙箱記錄中搜尋網址。
參數
不適用
執行時間
這項動作會對網址實體執行。
動作執行結果
實體擴充
如果實體超過門檻,系統會標示為可疑 (True)。
| 補充資料欄位名稱 | 邏輯 - 應用時機 |
|---|---|
| 狀態 | 如果 JSON 結果中存在該值,則傳回該值 |
| 跑步 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha1 | 如果 JSON 結果中存在該值,則傳回該值 |
| 標記 | 如果 JSON 結果中存在該值,則傳回該值 |
| webid | 如果 JSON 結果中存在該值,則傳回該值 |
| 留言 | 如果 JSON 結果中存在該值,則傳回該值 |
| filename | 如果 JSON 結果中存在該值,則傳回該值 |
| scriptname | 如果 JSON 結果中存在該值,則傳回該值 |
| 時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| 持續時間 | 如果 JSON 結果中存在該值,則傳回該值 |
| sha256 | 如果 JSON 結果中存在該值,則傳回該值 |
| md5 | 如果 JSON 結果中存在該值,則傳回該值 |
| analysisid | 如果 JSON 結果中存在該值,則傳回該值 |
深入分析
| 嚴重性 | 說明 |
|---|---|
| Warn | 系統會建立警告洞察資料,通知您經過擴充的網址是否含有惡意內容。當偵測到的引擎數量等於或超過掃描前設定的最低可疑門檻時,系統就會建立洞察資料。 |
指令碼執行結果
| 指令碼結果名稱 | 價值選項 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 結果
[{
"EntityResult":
{
"status": "finished",
"runs":
[{
"detection": "clean",
"yara": false,
"system": "w7_1",
"error": null
},{
"detection": "clean",
"yara": false,
"system": "w7x64",
"error": null
}],
"sha1": "e96a0e74ed5cfbcaa65c764939b29945e988be9b",
"tags": [],
"webid": "773601",
"comments": "testing",
"filename": "mocks.txt",
"scriptname": "default.jbs",
"time": "2019-01-21T11:21:20+01:00",
"duration": 530,
"sha256": "6087f230c0d6ea362f23ca2abb4baf82a9058cb0143af3e82584005f56626f5b",
"md5": "502cddb08849eb191386017dfca05670",
"analysisid": "765760"
},
"Entity": "https://sampleweb.com"
}]
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。