urlscan.io

Version de l'intégration : 24.0

Configurer urlscan.io pour qu'il fonctionne avec Google Security Operations

Clé API

  1. Pour obtenir votre clé API, connectez-vous à votre compte urlscan.io.

  2. Cliquez sur le bouton Ajouter une clé API dans la section Profil de la page.

  3. Ajoutez une description de l'utilisation que vous ferez de la clé API, puis cliquez sur Créer une clé API.

  4. Votre nouvelle clé API a été générée. Veillez à copier la clé API pour pouvoir l'ajouter à la configuration Google SecOps pour urlscan.io.

Réseau

Fonction Port par défaut Direction Protocole
API Valeurs multiples Sortant apikey

Configurer l'intégration urlscan.io dans Google SecOps

Pour obtenir des instructions détaillées sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.

Actions

Ping

Description

Testez la connectivité.

Paramètres

N/A

Cas d'utilisation

N/A

Exécuter sur

Cette action s'exécute sur toutes les entités.

Résultats de l'action

Enrichissement d'entités
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
N/A

Vérification d'URL

Description

Envoyez une URL à analyser et obtenez les détails de l'analyse.

Paramètres

Nom du paramètre Type Obligatoire Valeur par défaut Description
Visibilité

DDL
possible :
publique, non répertoriée, privée.

Non publique Les analyses sur urlscan.io ont trois niveaux de visibilité. Assurez-vous d'utiliser le niveau approprié pour votre envoi.
Seuil entier Non -1 Marquez l'entité comme suspecte si le score des verdicts est supérieur ou égal au seuil donné. La valeur par défaut est -1. Dans ce cas, nous considérons chaque URL analysée comme suspecte.
Créer un insight Booléen Non Oui Si cette option est activée, l'action créera un insight contenant des informations sur les entités.
Insight suspect uniquement Booléen Non Non Si cette option est activée, l'action ne créera des insights que pour les entités suspectes. Remarque : Le paramètre "Créer un insight" doit être activé.
Ajouter une capture d'écran à un insight Booléen Non Non Si cette option est activée, l'action ajoutera une capture d'écran du site Web à l'insight, si elle est disponible.

Cas d'utilisation

N/A

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Domaine
  • URL

Résultats de l'action

Enrichissement d'entités
Nom Clé
real_url tasks/url
visibility visibility
requests_count len(data/requests)
cookies CSV des données/cookies/nom
related_links CSV de données/liens/href
main_country page/country
main_domain page/domaine
main_ip page/ip
main_asn page/asnname
main_server page/serveur
related_ips_count len(lists/ips)
related_domains_count len(lists/domains)
related_countries Listes/pays au format CSV
overall_score verdicts/overall/score
catégories verdicts/overall/categories
tags verdicts/overall/tags
malveillant verdicts/overall/malicious
Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
[
    {
        "EntityResult":
        {
            "task":
            {
                "domURL": "https://urlscan.io/dom/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "screenshotURL": "https://urlscan.io/screenshots/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b.png",
                "uuid": "7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b",
                "url": "http://markossolomon.com/f1q7qx.php",
                "visibility": "public",
                "source": "12a3ddaf",
                "time": "2019-01-31T15:19:55.267Z",
                "reportURL": "https://urlscan.io/result/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
                "method": "api"
            },
            "stats":
            {
                "malicious": 0,
                "uniqCountries": 1,
                "totalLinks": 3,
                "secureRequests": 14,
                "securePercentage": 93,
                "adBlocked": 0,
                "IPv6Percentage": 50
            },
            "page":
            {
                "city": "Los Angeles",
                "domain": "markossolomon.com",
                "asn": "AS22612",
                "url": "http://markossolomon.com/f1q7qx.php",
                "ip": "1.1.1.1",
                "asnname": "NAMECHEAP-NET - Namecheap, Inc., US",
                "server": "nginx",
                "country": "US",
                "ptr": ""
            },
            "lists":
            {
                "linkDomains": ["www.namecheap.com",
                                "ap.www.namecheap.com"],
                "countries": ["US"],
                "asns": ["22612"],
                "servers": ["cloudflare",
                            "nginx"],
                "ips": ["198.54.117.244"],
                "urls": ["http://markossolomon.com/f1q7qx.php"],
                "domains": ["nc-img.com"],
                "hashes": ["f31c0889d28c7d713f237a8cea8cfbc5cb4cba63fad767666cce2bbc99746d1a"],
                "certificates": [{
                    "subjectName": "nc-img.com",
                    "validFrom": 1534204800,
                    "validTo": 1565827199,
                    "issuer": "COMODO RSA Domain Validation Secure Server CA"
                }]
            }},
        "Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Rechercher des analyses

Description

Recherchez les analyses urlscan.io existantes par attributs tels que les domaines, les adresses IP, les numéros de système autonome (AS), les hachages, etc. L'action trouvera les analyses publiques effectuées par n'importe qui, ainsi que les analyses non répertoriées et privées effectuées par vous ou vos équipes.

Paramètres

Nom du paramètre Type Obligatoire Valeur par défaut Description
Nombre maximal d'analyses Integer Non 100 Nombre d'analyses à renvoyer par entité. Par défaut : 100, maximum : 10 000 (selon l'abonnement).

Exécuter sur

Cette action s'applique aux entités suivantes :

  • Adresse IP
  • Noms d'hôte
  • URL
  • Nom de fichier
  • Hachages

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
{"entity_identifier": "www.unitedneighborsfcu.com",
"entity_results":[
  {
        "indexedAt": "2020-12-09T12:16:43.329Z",
        "task": {
            "visibility": "public",
            "method": "automatic",
            "domain": "www.unitedneighborsfcu.com",
            "time": "2020-12-09T12:16:23.168Z",
            "source": "certstream-suspicious",
            "uuid": "96310829-fed4-4d61-9fb0-39eb2952719f",
            "url": "https://www.unitedneighborsfcu.com"
        },
        "stats": {
            "uniqIPs": 6,
            "consoleMsgs": 0,
            "uniqCountries": 3,
            "dataLength": 1938842,
            "encodedDataLength": 1568193,
            "requests": 28
        },
        "page": {
            "country": "US",
            "server": "Microsoft-IIS/10.0",
            "domain": "www.unitedneighborsfcu.com",
            "ip": "8.21.114.55",
            "mimeType": "text/html",
            "asnname": "LEVEL3, US",
            "asn": "AS3356",
            "url": "https://www.unitedneighborsfcu.com/",
            "status": "200"
        },
        "_id": "96310829-fed4-4d61-9fb0-39eb2952719f",
        "sort": [1607516183168, "96310829-fed4-4d61-9fb0-39eb2952719f"],
        "result": "https://urlscan.io/api/v1/result/96310829-fed4-4d61-9fb0-39eb2952719f/",
        "screenshot": "https://urlscan.io/screenshots/96310829-fed4-4d61-9fb0-39eb2952719f.png"
  }
  ]
}
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

  • if find scans for some of the entities (is_success = true): print "Successfully listed scans for the following entities:\n".format(entity.identifier)
  • Si aucune analyse n'a été trouvée pour certaines entités (is_success = true) : print "L'action n'a pas pu lister les analyses pour les entités suivantes :\n".format(entity.identifier)
  • Si aucune analyse n'a été trouvée pour toutes les entités(is_success = false), affichez "L'action n'a pas pu lister les analyses pour les entités disponibles".
  • Si aucune entité n'est trouvée, affichez "Aucune entité appropriée n'a été trouvée dans le champ d'application actuel.

    L'action doit échouer et arrêter l'exécution d'un playbook :
    en cas d'erreur fatale, comme des identifiants incorrects, l'absence de connexion au serveur, etc. : affichez "Erreur lors de l'exécution de l'action "Rechercher des analyses". Motif : {0}''.format(error.Stacktrace).
Général
Tableau du mur des cas

Titre : "{entity identifier} – Résultats de recherche"

Colonnes :

ID de l'analyse

URL

Date de l'analyse

Taille

IPS

Pays uniques

Pays

Type d'analyse

Général
Lien vers le mur des cas Titre : rapport Web urlscan.io + (ID d'entité). Général
Pièce jointe du mur des cas contiendra la capture d'écran. Général

Obtenir tous les détails de l'analyse

Description

Obtenir tous les détails d'une analyse par son ID

Paramètres

Nom du paramètre Type Obligatoire Valeur par défaut Description
ID de l'analyse Chaîne Oui N/A Obtenez le rapport d'analyse à l'aide de l'ID d'analyse. Valeurs séparées par des virgules.

Exécuter sur

Cette action ne s'applique pas aux entités.

Résultats de l'action

Enrichissement d'entités

N/A

Insights

N/A

Résultat du script
Nom du résultat du script Options de valeur Exemple
is_success Vrai/Faux is_success:False
Résultat JSON
['Effective URL'] = response['page']['url']
Mur des cas
Type de résultat Valeur / Description Type
Message de sortie*

L'action ne doit pas échouer ni arrêter l'exécution d'un playbook :

  • if find some scan ids (is_success = true): print "Successfully fetched results for the following scans: {scan ids}
  • Si certains résultats n'ont pas été trouvés (is_success = true) : print "Action wasn't able to fetch results for the following scans: {scan ids}
  • Si tous les résultats n'ont pas été trouvés (is_success = false), affichez "L'action n'a pas pu récupérer les résultats. Les ID d'analyse fournis ne sont pas disponibles sur urlscan.io"

L'action doit échouer et arrêter l'exécution d'un playbook :

  • if fatal error, like wrong credentials, no connection to server, other: print "Error executing action "Get Scan Full Details". Raison : {0}''.format(error.Stacktrace)
Général
Lien vers le mur des cas Titre : rapport Web urlscan.io + (ID d'analyse). Général
Pièce jointe du mur des cas contiendra la capture d'écran. Général

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.