Sandbox & Blocking Actions

Sandbox

Um sandbox é um ambiente isolado e controlado usado para executar arquivos, links ou código suspeito sem risco para o sistema real.

Existe limite no Crowdstrike Falcon: ~100 arquivos por mês
Arquivos já quarentenados pelo Falcon NÃO contam

Para que serve

Executar arquivos suspeitos em ambiente isolado:

Ver:

Comportamento
Rede
Persistência
MITRE ATT&CK

Quando usar (SOC)

Use quando:

Hash desconhecido
Arquivo suspeito
Precisa confirmar comportamento

O que procurar na análise

Conexão externa (C2)
Criação de processos
Escrita em registry
Download de payload
Obfuscação

Blocking Actions

Onde fazer bloqueios

Página de IOC Management

Tipos de ação

Block

Bloqueia execução

Detect Only

Só alerta (não bloqueia)

Allow

Permite (whitelist)

Block and don’t show detection

Bloqueia silenciosamente

Limitação CRÍTICA

Só dá pra bloquear hash de arquivo executável (.exe)

Para IP e domínio:

Não bloqueia aqui

Então como bloquear IP/Domínio?

HBFW (Host-Based Firewall)

Tipo IPS

Bloqueia IPs
Bloqueia tráfego

Custom IOAs

Regras customizadas

Pode detectar/bloquear:

IP
Domínio
Processos
Arquivos
Conexões de rede

Custom IOAs

Sempre:

Testar regex
Validar regra antes de aplicar

PreviousReal Time Response NextInvestigation Template

Last updated 11 days ago

hashtagSandbox

hashtagPara que serve

hashtagQuando usar (SOC)

hashtagO que procurar na análise

hashtagBlocking Actions

hashtagEntão como bloquear IP/Domínio?

hashtagCustom IOAs