Joe Sandbox MCP Server

Un servidor Model Context Protocol (MCP) per a interactuar amb Joe Sandbox Cloud.
Aquest servidor expõe capacitats d’anàlisi rica i extracció d’IOC de Joe Sandbox i s’integra de manera fluida en qualsevol aplicació compatible amb MCP (per exemple Claude Desktop, Glama o agents LLM personalitzats).

Funcionalitats

• Enviament flexible: Envia fitxers locals, URL remotes, llocs web o línies d’ordre per a anàlisi dinàmica.
• Extracció d'IOC: Recupera indicadors de compromís per a fitxers deixats, IPs, dominis i URL.
• Deteccions de signatures: Recupera i extreu evidències accionables de signatures de sandbox.
• Arbres de processos: Visualitza les jerarquies d’execució completes, incloent línies d’ordre i relacions pare-fill.
• Fitxers PE desempaquetats: Descarrega binaris desempaquetats en memòria extrets durant l’execució, sovint revelant càrregues útils en temps d’execució.
• Descàrregues de PCAP: Recupera la captura completa de trànsit de xarxa (PCAP) gravada durant l’anàlisi per a inspecció offline.
• Respostes adaptades a LLM: Tots els resultats es estructuren per a un consum clar per a models de llenguatge, amb trencament i filtratge rellevant.

Inici ràpid

Instal·lació via uv (Recomanat)

1. Clona el repositori:

   git clone https://github.com/joesecurity/joesandboxMCP.git
   cd joesandboxMCP
   

2. Instal·la les dependències amb uv:

   uv venv
   uv pip install -e .
   

3. Llança el servidor MCP (veure la configuració a continuació)

Configuració d’exemple

{
  "mcpServers": {
    "JoeSandbox": {
      "command": "uv",
      "args": [
        "--directory",
        "/absolute/path/to/joesandboxMCP",
        "run",
        "main.py"
      ],
      "env": {
        "JBXAPIKEY": "your-jbxcloud-apikey",
        "ACCEPTTAC": "SET_TRUE_IF_YOU_ACCEPT"
      }
    }
  }
}

Avís legal

L’ús d’aquesta integració amb Joe Sandbox Cloud requereix l’acceptació dels Termes i Condicions de Joe Security.

En establir la variable d’entorn ACCEPTTAC=TRUE, confirmes explícitament que has llegit i acceptat els Termes i Condicions.

Eines disponibles

El servidor MCP de Joe Sandbox ofereix una àmplia gamma d’eines per a ajudar-te a interactuar amb els informes de sandbox, monitoritzar execucions i extreure intel·ligència de amenaces en un format fàcil per a models de llenguatge gran.

1. Enviar anàlisi

Envia fitxers, URL, llocs web o línies d’ordre per a l’anàlisi de sandbox.
Pots triar si esperes els resultats o si retornes immediatament i comprova més tard.
Suporta diverses opcions com accés a internet, registre d’escriptori i contrasenyes d’arxiu.

2. Cercar anàlisis anteriors

Busca enviaments històrics utilitzant hash, noms de fitxers, estat de detecció, noms de amenaces i més.
Troba ràpidament si alguna cosa ja ha estat analitzada.

3. Comprovar l’estat de l’enviament

Obtén l’estat actual i les metadades clau d’una mostra enviada prèviament.
Inclou el veredicte de detecció, sistemes utilitzats i puntuació d’anàlisi.

4. Resum AI

Recupera declaracions de raonament d’alt nivell generades per l’IA del sandbox.
Útil per entendre el comportament complex en llenguatge senzill.

5. Fitxers deixats maliciosos

Veure quins fitxers es van deixar durant l’execució i es van marcar com a maliciosos.
Inclou valors hash, noms de fitxers, processos d’origen i indicadors de detecció.

6–8. Indicadors de xarxa

Mostra dominis, adreces IP o URL contactats durant l’anàlisi.
Es pot filtrar per centrar-se només en elements clarament maliciosos o deteccions d’alta confiança.
Inclou detalls com resolució IP, pistes geogràfiques, context de comunicació i evidència de detecció.

9. Deteccions de comportament (signatures)

Obtén un resum de les deteccions de comportament clau activades durant l’execució.
Es pot filtrar per centrar-se només en elements d’alta incidència.

10. Arbre de processos

Visualitza la jerarquia completa de processos que s’han executat durant l’execució.
Mostra relacions pare-fill, línies d’ordre i informació de terminació.

11. Binari desempaquetat

Recupera fitxers executables que es van desempaquetar o desxifrar en memòria.
Ideal per identificar càrregues útils no visibles en el fitxer original.

12. Trànsit de xarxa (PCAP)

Descarrega la captura completa de paquets de xarxa gravada durant l’anàlisi.
Útil per a inspecció de trànsit, callbacks C2 o extracció de domini/IP.

13. Activitat recent

Llista les teves últimes enviaments de sandbox i mostra els sistemes en què s’han executat, com han puntuats i quins veredictes s’han retornat.

14. Dumps de memòria

Recupera dumps de memòria en brut capturats durant l’execució.

15. Fitxers deixats

Recupera tots els fitxers deixats durant l’anàlisi.

Licència

Aquest projecte està llicenciat sota la MIT License.