Falcon Sandbox
統合バージョン: 15.0
Google Security Operations と連携するように Falcon Sandbox を構成する
認証情報
API キーは、プロフィール ページの [API キー] タブに移動して確認できます。API キーは、[API キーを作成] ボタンをクリックすると生成されます。
ネットワーク
| 関数 | デフォルト ポート | 方向 | プロトコル |
|---|---|---|---|
| API | 複数値 | 送信 | apikey |
Google SecOps で Falcon Sandbox 統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| インスタンス名 | 文字列 | なし | いいえ | 統合を構成するインスタンスの名前。 |
| 説明 | 文字列 | なし | いいえ | インスタンスの説明。 |
| API ルート | 文字列 | https://www.hybrid-analysis.com/docs/api/v2 |
○ | CrowdStrike Falcon Sandbox インスタンスのアドレス。 |
| API キー | 文字列 | なし | ○ | CrowdStrike Falcon Sandbox インスタンスで生成された API キー。 |
| しきい値 | 整数 | 50.0 | ○ | なし |
| リモートで実行 | チェックボックス | オフ | いいえ | 構成した統合をリモートで実行するには、フィールドのチェックボックスをオンにします。オンにすると、リモート ユーザー(エージェント)を選択するオプションが表示されます。 |
アクション
ファイルを分析
分析用にファイルを送信し、レポートを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイルパス | 文字列 | なし | ○ | 分析するファイルのフルパス。 |
| 環境 | 文字列 | なし | ○ | 環境 ID。使用可能な環境 ID: 300: 'Linux (Ubuntu 16.04、64 ビット)'、200: 「Android Static Analysis」、120: 「Windows 7 64 ビット」、110: 「Windows 7 32 ビット(HWP サポート)」、「100」: 「Windows 7 32 ビット」 |
| レポートを含む | チェックボックス | オフ | いいえ | 有効にすると、アクションによって添付ファイルに関連するレポートが取得されます。注: この機能を使用するには、プレミアム キーが必要です。 |
ユースケース
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| max_threat_score | なし | なし |
JSON の結果
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE","mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null, "domains": [],
"error_type": null,
"type_short": ["img"]
}
]
ファイルの URL を分析
分析用に URL でファイルを送信し、レポートを取得します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイルの URL | 文字列 | なし | ○ | 解析するファイルの URL。例: http://example.com/example/Example-Document.zip |
| 環境 | 文字列 | なし | ○ | 環境 ID。使用可能な環境 ID: 300: 'Linux (Ubuntu 16.04、64 ビット)'、200: 「Android Static Analysis」、120: 「Windows 7 64 ビット」、110: 「Windows 7 32 ビット(HWP サポート)」、「100」: 「Windows 7 32 ビット」 |
ユースケース
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| max_threat_score | なし | なし |
JSON の結果
[
{
"target_url": null,
"threat_score": null,
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"vx_family": null,
"interesting": false,
"error_origin": null,
"state": "IN_QUEUE",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null, "classification_tags": [],
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": null,
"domains": [],
"error_type": null,
"type_short": ["img"]
}
]
ハッシュ スキャン レポートを取得
ハイブリッド分析レポートを取得し、ファイル ハッシュ エンティティを拡充します。
パラメータ
なし
ユースケース
なし
実行
このアクションは Filehash エンティティに対して実行されます。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| environment_id | JSON の結果に存在する場合に返します。 |
| total_processes | JSON の結果に存在する場合に返します。 |
| threat_level | JSON の結果に存在する場合に返します。 |
| size | JSON の結果に存在する場合に返します。 |
| job_id | JSON の結果に存在する場合に返します。 |
| target_url | JSON の結果に存在する場合に返します。 |
| 了解いたしました。 | JSON の結果に存在する場合に返します。 |
| error_type | JSON の結果に存在する場合に返します。 |
| state | JSON の結果に存在する場合に返します。 |
| environment_description | JSON の結果に存在する場合に返します。 |
| mitre_attacks | JSON の結果に存在する場合に返します。 |
| certificates | JSON の結果に存在する場合に返します。 |
| ホストする | JSON の結果に存在する場合に返します。 |
| sha256 | JSON の結果に存在する場合に返します。 |
| sha512 | JSON の結果に存在する場合に返します。 |
| compromised_hosts | JSON の結果に存在する場合に返します。 |
| extracted_files | JSON の結果に存在する場合に返します。 |
| analysis_start_time | JSON の結果に存在する場合に返します。 |
| tags | JSON の結果に存在する場合に返します。 |
| imphash | JSON の結果に存在する場合に返します。 |
| total_network_connections | JSON の結果に存在する場合に返します。 |
| av_detect | JSON の結果に存在する場合に返します。 |
| total_signatures | JSON の結果に存在する場合に返します。 |
| submit_name | JSON の結果に存在する場合に返します。 |
| ssdeep | JSON の結果に存在する場合に返します。 |
| md5 | JSON の結果に存在する場合に返します。 |
| error_origin | JSON の結果に存在する場合に返します。 |
| プロセス | JSON の結果に存在する場合に返します。 |
| shal | JSON の結果に存在する場合に返します。 |
| url_analysis | JSON の結果に存在する場合に返します。 |
| type | JSON の結果に存在する場合に返します。 |
| file_metadata | JSON の結果に存在する場合に返します。 |
| vx_family | JSON の結果に存在する場合に返します。 |
| threat_score | JSON の結果に存在する場合に返します。 |
| 判断 | JSON の結果に存在する場合に返します。 |
| ドメイン | JSON の結果に存在する場合に返します。 |
| type_short | JSON の結果に存在する場合に返します。 |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| max_threat_score | なし | なし |
JSON の結果
[
{
"EntityResult":
[{
"classification_tags": [],
"environment_id": 100,
"total_processes": 0,
"threat_level": null,
"size": 31261,
"job_id": "5c4435ef7ca3e109e640b709",
"target_url": null,
"interesting": false,
"error_type": null,
"state": "IN_QUEUE",
"environment_description": "Windows 7 32 bit",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac",
"sha512": "01f48fa1671cdc9e4d6866b9b237430f1b9b7093cbbed57fb010dc3db84a754a7a0457c5fd968d4e693ca74bdc1c7f15efb55f2af2ea236354944cffc8d4efd8",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2019-01-20T02:50:01-06:00",
"tags": [],
"imphash": null,
"total_network_connections": 0,
"av_detect": null,
"total_signatures": 0,
"submit_name": "Proofpoint_R_Logo (1).png",
"ssdeep": null,
"md5": "48703c5d4ea8dc2099c37ea871b640ef",
"error_origin": null,
"processes": [],
"sha1": "5b30e297b54ef27ffcda06aa212b5aa6c5424e1c",
"url_analysis": false,
"type": "PNG image data, 1200 x 413, 8-bit/color RGBA, non-interlaced",
"file_metadata": null,
"vx_family": null,
"threat_score": null,
"verdict": null,
"domains": [],
"type_short": ["img"]
}],
"Entity": "26d3c8656a83b06b293b15251617fe2c2c493f842a95b3d9b2ee45b3209d5fac"
}
]
Ping
CrowdStrike Falcon Sandbox への接続性をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| success | True/False | success:False |
JSON の結果
なし
検索
Falcon データベースで、既存のスキャン レポートと、ファイルおよびファイル URL に関する情報を検索します。
パラメータ
| パラメータ | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイル名 | 文字列 | なし | いいえ | 例: example.exe。 |
| ファイル形式 | 文字列 | なし | いいえ | 例: docx。 |
| ファイル形式の説明 | 文字列 | なし | いいえ | 例: PE32 実行可能ファイル。 |
| 判断 | 文字列 | なし | いいえ | 例: 1(1=ホワイトリスト登録済み、2=判定なし、3=特定の脅威なし、4=不審、5=悪意のある)。 |
| AV マルチスキャン範囲 | 文字列 | なし | いいえ | 例: 50 ~ 70(最小値 0、最大値 100)。 |
| AV ファミリー文字列の一部 | 文字列 | なし | いいえ | 例: Agent.AD、nemucod。 |
| ハッシュタグ | 文字列 | なし | いいえ | 例: ランサムウェア |
| ポート | 文字列 | なし | いいえ | 例: 8080 |
| ホスト | 文字列 | なし | いいえ | 例: 192.0.2.1 |
| ドメイン | 文字列 | なし | いいえ | 例: checkip.dyndns.org |
| HTTP リクエストのサブストリング | 文字列 | なし | いいえ | 例: google |
| 類似のサンプル | 文字列 | なし | いいえ | 例: \<sha256> |
| サンプル コンテキスト | 文字列 | なし | いいえ | 例: \<sha256> |
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| 結果 | なし | なし |
ファイルの送信
分析用にファイルを送信します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ファイルパス | 文字列 | なし | ○ | 分析するファイルのフルパス。複数の場合は、カンマ区切りの値を使用します。 |
| 環境 | プルダウン | Linux | ○ | 使用可能な環境 名前: 300: 'Linux (Ubuntu 16.04、64 ビット)'、200: 「Android Static Analysis」、120: 「Windows 7 64 ビット」、110: 「Windows 7 32 ビット(HWP サポート)」、「100」: 「Windows 7 32 ビット」 デフォルトは Linux(Ubuntu 16.04、64 ビット)です。 |
ユースケース
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
| 拡充フィールド名 | ロジック - 適用するタイミング |
|---|---|
| sha256 | JSON の結果に存在する場合に返します。 |
| job_id | JSON の結果に存在する場合に返します。 |
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"job_id": "5f21459cb80c2d0a182b7967"
},
"Entity": "/temp/test.txt"
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
|
一般 |
ジョブを待ってレポートを取得
スキャンジョブが完了するまで待って、スキャン レポートを取得します。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| ジョブ ID | 文字列 | なし | True | ジョブ ID。 複数の場合は、カンマ区切りの値を使用します(値は、以前に実行されたアクション(ファイルの送信)からプレースホルダとして渡される必要があります)。 また、ジョブ ID は手動で指定することもできます。 |
ユースケース
なし
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
{
"5f21459cb80c2d0a182b7967": {
"environment_id": 300,
"threat_score": 0,
"target_url": null,
"total_processes": 0,
"threat_level": 3,
"size": 26505,
"submissions": [{
"url": null,
"submission_id": "5f267a34e3e6784e4f180936",
"created_at": "2020-08-02T08:32:52+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f2146381a5f6253f266fed9",
"created_at": "2020-07-29T09:49:44+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21461360cae26e4719a6c9",
"created_at": "2020-07-29T09:49:07+00:00",
"filename": "Test.py"
}, {
"url": null,
"submission_id": "5f21459cb80c2d0a182b7968",
"created_at": "2020-07-29T09:47:08+00:00",
"filename": "Test.py"
}],
"job_id": "5f21459cb80c2d0a182b7967",
"vx_family": null,
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": [],
"sha256": "fa636febca412dd9d1f2e7f7ca66462757bce24adb7cb5fffd2e247ce6dcf7fe",
"sha512": "62c6d5c16d647e1361a761553fb1adfa92df3741e53a234fab28d08d3d003bdb4b2a7d7c5a050dc2cdba7b1d915f42d3c56f9694053fa75adae82c1b20e03b02",
"compromised_hosts": [],
"extracted_files": [],
"analysis_start_time": "2020-07-29T09:47:17+00:00",
"tags": [],
"imphash": "Unknown",
"total_network_connections": 0,
"av_detect": null,
"classification_tags": [],
"submit_name": "Test.py",
"ssdeep": "384:lRGs3v2+nSZUpav/+GUYERs0vZfyh/fyChIRpyCCLqa09NdyDRax9XSmxTAf:lR3fKZUoGGX0xfm/Duyoa09x9+",
"md5": "bfec680af21539eb0a9f349038c68220",
"error_origin": null,
"total_signatures": 0,
"processes": [],
"sha1": "0a4e78bb8df401197e925b2643ceabf5b670df17",
"url_analysis": false,
"type": "Python script, ASCII text executable, with CRLF line terminators",
"file_metadata": null,
"environment_description": "Linux (Ubuntu 16.04, 64 bit)",
"verdict": "no verdict",
"domains": [],
"type_short": ["script", "python"]
}
}
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
|
一般 |
| 添付ファイル |
|
スキャンの URL
分析のために URL またはドメインをスキャンします。
パラメータ
| パラメータの表示名 | 種類 | 必須 | 説明 |
|---|---|---|---|
| しきい値 | 整数 | ○ | AV 検出の数が指定されたしきい値以上の場合、エンティティを不審としてマーク |
| 環境名 | DDL | ○ | Windows 7 32 ビット Windows 7 32 ビット(HWP サポート) |
ユースケース
アナリストは、分析のためにスキャン URL またはドメインファイルを取得できます。
実行
このアクションは次のエンティティに対して実行されます。
- URL
- ホスト名
アクションの結果
エンティティ拡充
scan_info_res.get('av_detect') > しきい値(パラメータ)の場合、エンティティを不審としてマークします。
分析情報
次のメッセージを含む分析情報を追加します。CrowdStrike Falcon Sandbox - エンティティは AV 検出スコア {av_detect} によって悪意のあるものとしてマークされました。しきい値が {threshold} に設定されました。
スクリプトの結果
| スクリプトの結果名 | 値のオプション | 例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult": {
"environment_id": 100,
"threat_score": 13,
"target_url": null,
"total_processes": 3,
"threat_level": 0,
"size": null,
"submissions": [{
"url": "http://example.com/",
"submission_id": "5f4925f00da24603010641be",
"created_at": "2020-08-28T15:42:40+00:00",
"filename": null
}, {
"url": "http://example.com/",
"submission_id": "5f48c011f86f36448901d054",
"created_at": "2020-08-28T08:28:01+00:00",
"filename": null
}],
"job_id": "5f1332c48161bb7d5b6c9663",
"vx_family": "Unrated site",
"interesting": false,
"error_type": null,
"state": "SUCCESS",
"mitre_attcks": [],
"certificates": [],
"hosts": ["192.0.2.1", "192.0.2.2", "192.0.2.3", "192.0.2.4", "192.0.2.5", "192.0.2.6", "192.0.2.7", "192.0.2.8"],
"sha256": "6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a", "sha512": "c2e12fee8e08b387f91529aaada5c78e86649fbb2fe64d067b630e0c5870284bf0ca22654211513d774357d37d4c9729ea7ddc44bf44144252959004363d7da9",
"compromised_hosts": [],
"extracted_files": [{
"av_label": null,
"sha1": "0da5de8165c50f6ace4660a6b38031f212917b17",
"threat_level": 0,
"name": "rs_ACT90oEMCn26rBYSdHdZAoXYig7gRwLYBA_1_.js",
"threat_level_readable": "no specific threat",
"type_tags": ["script", "javascript"],
"description": "ASCII text, with very long lines",
"file_available_to_download": false,
"av_matched": null,
"runtime_process": null,
"av_total": null,
"file_size": 566005,
"sha256": "d41f46920a017c79fe4e6f4fb0a621af77169168c8645aa4b5094a1e67e127a0",
"file_path": null,
"md5": "c8c8076fd2390d47c8bf4a40f4885eeb"
}],
"analysis_start_time": "2020-07-18T17:35:09+00:00",
"tags": ["tag", "the"],
"imphash": "Unknown",
"total_network_connections": 8,
"av_detect": 0,
"classification_tags": [],
"submit_name": "http://example.com/",
"ssdeep": "Unknown",
"md5": "e6f672151804707d11eb4b840c3ec635",
"error_origin": null,
"total_signatures": 14,
"processes": [{
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083159-00001692",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "\\\"%WINDIR%\\\\System32\\\\ieframe.dll\\\",OpenURL C:\\\\6982da0e6956768fdc206317d429c6b8313cf4ebf298ec0aa35f0f03f07cec6a.url",
"file_accesses": [],
"parentuid": null,
"normalized_path": "%WINDIR%System32rundll32.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "3fa4912eb43fc304652d7b01f118589259861e2d628fa7c86193e54d5f987670",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083319-00003012",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "http://example.com/",
"file_accesses": [],
"parentuid": "00083159-00001692",
"normalized_path": "%PROGRAMFILES%Internet Exploreriexplore.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"
}, {
"process_flags": [],
"av_label": null,
"mutants": [],
"uid": "00083353-00002468",
"icon": null,
"script_calls": [],
"pid": null,
"handles": [],
"command_line": "SCODEF:3012 CREDAT:275457 /prefetch:2",
"file_accesses": [],
"parentuid": "00083319-00003012",
"normalized_path": "%PROGRAMFILES%Internet Example.exe",
"av_matched": null,
"streams": [],
"registry": [],
"av_total": null,
"sha256": "8abc7daa81c8a20bfd88b6a60ecc9ed1292fbb6cedbd6f872f36512d9a194bba",
"created_files": [],
"name": "example.exe"}],
"sha1": "0a0bec39293c168288c04f575a7a317e29f1878f",
"url_analysis": true,
"type": null,
"file_metadata": null,
"environment_description": "Windows 7 32 bit",
"verdict": "no specific threat",
"domains": ["fonts.example.com", "example.example.net", "example.org", "example.com", "www.example.com"],
"type_short": []
},
"Entity": "example.com"
}
]
Case Wall
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * |
|
一般 |
| 添付ファイル |
|
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。