Le sandbox vengono utilizzate per l'estrazione automatica di indicatori di compromissione (IoC) che possono essere utilizzati per scrivere firme. Questa firma può quindi essere utilizzata, ad esempio, su un sistema IPS per bloccare determinate azioni?