urlscan.io

통합 버전: 24.0

Google Security Operations와 함께 작동하도록 urlscan.io 구성

API 키

  1. API 키를 가져오려면 urlscan.io 계정에 로그인합니다.

  2. 페이지의 프로필 섹션에서 API 키 추가 버튼을 클릭합니다.

  3. API 키를 사용할 용도를 설명하는 내용을 추가하고 API 키 만들기를 클릭합니다.

  4. 새 API 키가 생성되었습니다. urlscan.io의 Google SecOps 구성에 추가할 수 있도록 API 키를 복사해야 합니다.

네트워크

함수 기본 포트 방향 프로토콜
API Multivalues 아웃바운드 apikey

Google SecOps에서 urlscan.io 통합 구성

Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.

작업

설명

연결을 테스트합니다.

매개변수

해당 사항 없음

사용 사례

해당 사항 없음

실행

이 작업은 모든 항목에서 실행됩니다.

작업 결과

항목 보강
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
N/A

URL 확인

설명

스캔할 URL을 제출하고 스캔 세부정보를 확인합니다.

매개변수

매개변수 이름 유형 필수 항목 기본값 설명
공개 상태

DDL
가능:
public, unlisted, private.

아니요 public urlscan.io의 스캔에는 세 가지 공개 상태 수준이 있으며 제출에 적절한 수준을 사용해야 합니다.
기준 정수 아니요 -1 평결 점수가 지정된 기준 이상이면 항목을 의심스러운 것으로 표시합니다. 기본값은 -1이며, 이 경우 스캔된 모든 URL이 의심스러운 것으로 간주됩니다.
통계 만들기 불리언 아니요 사용 설정하면 작업에서 항목에 대한 정보가 포함된 통계를 만듭니다.
의심스러운 통계만 불리언 아니요 아니요 사용 설정하면 작업에서 의심스러운 항목에 대한 통계만 만듭니다. 참고: 'Create Insight' 매개변수를 사용 설정해야 합니다.
인사이트에 스크린샷 추가 불리언 아니요 아니요 사용 설정하면 작업에서 웹사이트의 스크린샷을 통계에 추가합니다(사용 가능한 경우).

사용 사례

해당 사항 없음

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • 도메인
  • URL

작업 결과

항목 보강
이름
real_url tasks/url
visibility visibility
requests_count len(data/requests)
쿠키 데이터/쿠키/이름의 CSV
related_links 데이터/링크/href의 CSV
main_country 페이지/국가
main_domain page/domain
main_ip page/ip
main_asn page/asnname
main_server 페이지/서버
related_ips_count len(lists/ips)
related_domains_count len(lists/domains)
related_countries CSV 목록/국가
overall_score verdicts/overall/score
카테고리 verdicts/overall/categories
tags verdicts/overall/tags
악성 요청 verdicts/overall/malicious
통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
[
    {
        "EntityResult":
        {
            "task":
            {
                "domURL": "https://urlscan.io/dom/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "screenshotURL": "https://urlscan.io/screenshots/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b.png",
                "uuid": "7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b",
                "url": "http://markossolomon.com/f1q7qx.php",
                "visibility": "public",
                "source": "12a3ddaf",
                "time": "2019-01-31T15:19:55.267Z",
                "reportURL": "https://urlscan.io/result/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
                "method": "api"
            },
            "stats":
            {
                "malicious": 0,
                "uniqCountries": 1,
                "totalLinks": 3,
                "secureRequests": 14,
                "securePercentage": 93,
                "adBlocked": 0,
                "IPv6Percentage": 50
            },
            "page":
            {
                "city": "Los Angeles",
                "domain": "markossolomon.com",
                "asn": "AS22612",
                "url": "http://markossolomon.com/f1q7qx.php",
                "ip": "1.1.1.1",
                "asnname": "NAMECHEAP-NET - Namecheap, Inc., US",
                "server": "nginx",
                "country": "US",
                "ptr": ""
            },
            "lists":
            {
                "linkDomains": ["www.namecheap.com",
                                "ap.www.namecheap.com"],
                "countries": ["US"],
                "asns": ["22612"],
                "servers": ["cloudflare",
                            "nginx"],
                "ips": ["198.54.117.244"],
                "urls": ["http://markossolomon.com/f1q7qx.php"],
                "domains": ["nc-img.com"],
                "hashes": ["f31c0889d28c7d713f237a8cea8cfbc5cb4cba63fad767666cce2bbc99746d1a"],
                "certificates": [{
                    "subjectName": "nc-img.com",
                    "validFrom": 1534204800,
                    "validTo": 1565827199,
                    "issuer": "COMODO RSA Domain Validation Secure Server CA"
                }]
            }},
        "Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

스캔 검색

설명

도메인, IP, 자율 시스템 (AS) 번호, 해시 등의 속성으로 urlscan.io 기존 검사를 검색합니다. 이 작업을 통해 모든 사용자가 실행한 공개 검사뿐만 아니라 본인 또는 팀에서 실행한 일부 공개비공개 검사도 찾을 수 있습니다.

매개변수

매개변수 이름 유형 필수 항목 기본값 설명
최대 스캔 정수 아니요 100 항목당 반환할 스캔 수입니다. 기본값: 100, 최댓값: 10,000 (구독에 따라 다름)

실행

이 작업은 다음 항목에서 실행됩니다.

  • IP 주소
  • 호스트 이름
  • URL
  • 파일 이름
  • 해시

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
{"entity_identifier": "www.unitedneighborsfcu.com",
"entity_results":[
  {
        "indexedAt": "2020-12-09T12:16:43.329Z",
        "task": {
            "visibility": "public",
            "method": "automatic",
            "domain": "www.unitedneighborsfcu.com",
            "time": "2020-12-09T12:16:23.168Z",
            "source": "certstream-suspicious",
            "uuid": "96310829-fed4-4d61-9fb0-39eb2952719f",
            "url": "https://www.unitedneighborsfcu.com"
        },
        "stats": {
            "uniqIPs": 6,
            "consoleMsgs": 0,
            "uniqCountries": 3,
            "dataLength": 1938842,
            "encodedDataLength": 1568193,
            "requests": 28
        },
        "page": {
            "country": "US",
            "server": "Microsoft-IIS/10.0",
            "domain": "www.unitedneighborsfcu.com",
            "ip": "8.21.114.55",
            "mimeType": "text/html",
            "asnname": "LEVEL3, US",
            "asn": "AS3356",
            "url": "https://www.unitedneighborsfcu.com/",
            "status": "200"
        },
        "_id": "96310829-fed4-4d61-9fb0-39eb2952719f",
        "sort": [1607516183168, "96310829-fed4-4d61-9fb0-39eb2952719f"],
        "result": "https://urlscan.io/api/v1/result/96310829-fed4-4d61-9fb0-39eb2952719f/",
        "screenshot": "https://urlscan.io/screenshots/96310829-fed4-4d61-9fb0-39eb2952719f.png"
  }
  ]
}
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

  • 일부 항목의 스캔을 찾은 경우 (is_success = true): '다음 항목의 스캔을 나열했습니다.\n'.format(entity.identifier) 출력
  • 일부 항목의 스캔을 찾지 못한 경우 (is_success = true): '작업이 다음 항목의 스캔을 나열할 수 없습니다.\n'.format(entity.identifier) 출력
  • 모든 항목의 스캔을 찾지 못한 경우(is_success = false): '작업이 사용 가능한 항목의 스캔을 나열할 수 없습니다.'를 출력합니다.
  • 항목이 없는 경우: '현재 범위에서 적합한 항목을 찾을 수 없습니다.

    작업이 실패하고 플레이북 실행을 중지해야 합니다.
    잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류가 발생한 경우: '스캔 검색' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}''.format(error.Stacktrace)
일반
케이스 월 테이블

제목: '{엔티티 식별자} - 검색 결과'

열:

스캔 ID

URL

스캔 날짜

크기

IPS : 침입 방지 시스템

고유 국가

국가

스캔 유형

일반
케이스 월 링크 제목: 'urlscan.io 웹 보고서 + (엔티티 ID)' 일반
케이스 월 첨부파일 스크린샷이 포함됩니다. 일반

전체 세부정보 가져오기

설명

스캔 ID로 전체 스캔 세부정보 가져오기

매개변수

매개변수 이름 유형 필수 항목 기본값 설명
스캔 ID 문자열 해당 사항 없음 스캔 ID를 사용하여 스캔 보고서를 가져옵니다. 쉼표로 구분된 값입니다.

실행

이 작업은 항목에서 실행되지 않습니다.

작업 결과

항목 보강

해당 사항 없음

통계

해당 사항 없음

스크립트 결과
스크립트 결과 이름 값 옵션 예시
is_success True/False is_success:False
JSON 결과
['Effective URL'] = response['page']['url']
케이스 월
결과 유형 값 / 설명 유형
출력 메시지*

작업이 실패하거나 플레이북 실행을 중지하지 않습니다.

  • 스캔 ID를 찾은 경우 (is_success = true): '다음 스캔의 결과를 가져왔습니다: {scan ids}
  • 일부를 찾지 못한 경우 (is_success = true): print "Action wasn't able to fetch results for the following scans: {scan ids}
  • 모두 찾지 못한 경우 (is_success = false): '작업이 결과를 가져올 수 없습니다. 제공된 스캔 ID는 urlscan.io를 사용하여 사용할 수 없습니다.'

작업이 실패하고 플레이북 실행을 중지합니다.

  • 잘못된 사용자 인증 정보, 서버 연결 없음과 같은 치명적인 오류의 경우: ''전체 세부정보 가져오기' 작업을 실행하는 중에 오류가 발생했습니다.'를 출력합니다. 이유: {0}'.format(error.Stacktrace)
일반
케이스 월 링크 제목: 'urlscan.io 웹 보고서 + (스캔 ID)' 일반
케이스 월 첨부파일 스크린샷이 포함됩니다. 일반

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.