Esta página foi traduzida pela API Cloud Translation.

urlscan.io

Versão da integração: 24.0

Configurar o urlscan.io para trabalhar com o Google Security Operations

Chave de API

Para conseguir sua chave de API, faça login na sua conta do urlscan.io.
Clique no botão Adicionar chave de API na seção Perfil da página.
Adicione uma descrição de para que você vai usar a chave de API e clique em Criar chave de API.
Sua nova chave de API foi gerada. Copie a chave de API para adicioná-la à configuração do Google SecOps para urlscan.io.

Rede

Função	Porta padrão	Direção	Protocolo
API	Multivalores	Saída	apikey

Configurar a integração do urlscan.io no Google SecOps

Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.

Ações

Ping

Descrição

Teste a conectividade.

Parâmetros

N/A

Casos de uso

N/A

Executar em

Essa ação é executada em todas as entidades.

Resultados da ação

Enriquecimento de entidades

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado do JSON

N/A

Verificação de URL

Descrição

Envie um URL para ser verificado e receba os detalhes da verificação.

Parâmetros

Nome do parâmetro	Tipo	É obrigatório	Valor padrão	Descrição
Visibilidade	DDL possible: public, unlisted, private.	Não	público	As verificações no urlscan.io têm um de três níveis de visibilidade. Use o nível adequado para seu envio.
Limite	integer	Não	-1	Marque a entidade como suspeita se a pontuação dos veredictos for igual ou superior ao limite especificado. O padrão é -1. Nesse caso, consideramos todos os URLs verificados como suspeitos.
Criar insight	Booleano	Não	Sim	Se ativada, a ação vai criar um insight com informações sobre entidades.
Somente insights suspeitos	Booleano	Não	Não	Se ativada, a ação só vai criar insights para entidades suspeitas. Observação: o parâmetro "Criar insights" precisa estar ativado.
Adicionar captura de tela ao insight	Booleano	Não	Não	Se ativada, a ação vai adicionar uma captura de tela do site ao insight, se disponível.

Casos de uso

N/A

Executar em

Essa ação é executada nas seguintes entidades:

Endereço IP
Domínio
URL

Resultados da ação

Enriquecimento de entidades

Nome	Key
real_url	tasks/url
visibility	visibility
requests_count	len(data/requests)
cookies	CSV de dados/cookies/nome
related_links	CSV de dados/links/href
main_country	page/country
main_domain	page/domain
main_ip	page/ip
main_asn	page/asnname
main_server	page/server
related_ips_count	len(lists/ips)
related_domains_count	len(lists/domains)
related_countries	Listas/países em CSV
overall_score	verdicts/overall/score
categorias	verdicts/overall/categories
tags	verdicts/overall/tags
malicioso	verdicts/overall/malicious

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado do JSON

[
    {
        "EntityResult":
        {
            "task":
            {
                "domURL": "https://urlscan.io/dom/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "screenshotURL": "https://urlscan.io/screenshots/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b.png",
                "uuid": "7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b",
                "url": "http://markossolomon.com/f1q7qx.php",
                "visibility": "public",
                "source": "12a3ddaf",
                "time": "2019-01-31T15:19:55.267Z",
                "reportURL": "https://urlscan.io/result/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
                "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
                "method": "api"
            },
            "stats":
            {
                "malicious": 0,
                "uniqCountries": 1,
                "totalLinks": 3,
                "secureRequests": 14,
                "securePercentage": 93,
                "adBlocked": 0,
                "IPv6Percentage": 50
            },
            "page":
            {
                "city": "Los Angeles",
                "domain": "markossolomon.com",
                "asn": "AS22612",
                "url": "http://markossolomon.com/f1q7qx.php",
                "ip": "1.1.1.1",
                "asnname": "NAMECHEAP-NET - Namecheap, Inc., US",
                "server": "nginx",
                "country": "US",
                "ptr": ""
            },
            "lists":
            {
                "linkDomains": ["www.namecheap.com",
                                "ap.www.namecheap.com"],
                "countries": ["US"],
                "asns": ["22612"],
                "servers": ["cloudflare",
                            "nginx"],
                "ips": ["198.54.117.244"],
                "urls": ["http://markossolomon.com/f1q7qx.php"],
                "domains": ["nc-img.com"],
                "hashes": ["f31c0889d28c7d713f237a8cea8cfbc5cb4cba63fad767666cce2bbc99746d1a"],
                "certificates": [{
                    "subjectName": "nc-img.com",
                    "validFrom": 1534204800,
                    "validTo": 1565827199,
                    "issuer": "COMODO RSA Domain Validation Secure Server CA"
                }]
            }},
        "Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
    }
]

Pesquisar verificações

Descrição

Pesquise verificações atuais do urlscan.io por atributos como domínios, IPs, números de sistema autônomo (AS), hashes etc. A ação vai encontrar verificações públicas realizadas por qualquer pessoa, além de verificações não listadas e privadas feitas por você ou suas equipes.

Parâmetros

Nome do parâmetro	Tipo	É obrigatório	Valor padrão	Descrição
Número máximo de verificações	Número inteiro	Não	100	Número de verificações a serem retornadas por entidade. Padrão: 100, Máximo: 10.000 (dependendo da assinatura).

Executar em

Essa ação é executada nas seguintes entidades:

Endereço IP
Nomes de host
URLs
Nome do arquivo
Hashes

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado do JSON

{"entity_identifier": "www.unitedneighborsfcu.com",
"entity_results":[
  {
        "indexedAt": "2020-12-09T12:16:43.329Z",
        "task": {
            "visibility": "public",
            "method": "automatic",
            "domain": "www.unitedneighborsfcu.com",
            "time": "2020-12-09T12:16:23.168Z",
            "source": "certstream-suspicious",
            "uuid": "96310829-fed4-4d61-9fb0-39eb2952719f",
            "url": "https://www.unitedneighborsfcu.com"
        },
        "stats": {
            "uniqIPs": 6,
            "consoleMsgs": 0,
            "uniqCountries": 3,
            "dataLength": 1938842,
            "encodedDataLength": 1568193,
            "requests": 28
        },
        "page": {
            "country": "US",
            "server": "Microsoft-IIS/10.0",
            "domain": "www.unitedneighborsfcu.com",
            "ip": "8.21.114.55",
            "mimeType": "text/html",
            "asnname": "LEVEL3, US",
            "asn": "AS3356",
            "url": "https://www.unitedneighborsfcu.com/",
            "status": "200"
        },
        "_id": "96310829-fed4-4d61-9fb0-39eb2952719f",
        "sort": [1607516183168, "96310829-fed4-4d61-9fb0-39eb2952719f"],
        "result": "https://urlscan.io/api/v1/result/96310829-fed4-4d61-9fb0-39eb2952719f/",
        "screenshot": "https://urlscan.io/screenshots/96310829-fed4-4d61-9fb0-39eb2952719f.png"
  }
  ]
}

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if find scans for some of the entities (is_success = true): print "Successfully listed scans for the following entities:\n".format(entity.identifier) Se não encontrar verificações para algumas das entidades (is_success = true): print "Não foi possível listar verificações para as seguintes entidades:\n".format(entity.identifier) Se não encontrar verificações para todas as entidades(is_success = false): imprima "Não foi possível listar as verificações para as entidades disponíveis". Se não houver entidades:imprima "Nenhuma entidade adequada foi encontrada no escopo atual. A ação vai falhar e interromper a execução de um playbook: se houver um erro fatal, como credenciais incorretas, nenhuma conexão com o servidor, outros: imprima "Erro ao executar a ação "Pesquisar verificações". Motivo: {0}''.format(error.Stacktrace).	Geral
Tabela do painel de casos	Título: "{entity identifier} - Resultados da pesquisa" Colunas: ID de verificação URL Data da verificação Tamanho IPS Países únicos País Tipo de verificação	Geral
Link do Painel de casos	Título: "Relatório da Web do urlscan.io + (ID da entidade).	Geral
Anexo do Painel de casos	Vai conter a captura de tela.	Geral

Receber detalhes completos da verificação

Descrição

Receber detalhes completos da verificação pelo ID

Parâmetros

Nome do parâmetro	Tipo	É obrigatório	Valor padrão	Descrição
ID de verificação	String	Sim	N/A	Receba o relatório de verificação usando o ID da verificação. Valores separados por vírgula.

Executar em

Essa ação não é executada em entidades.

Resultados da ação

Enriquecimento de entidades

N/A

Insights

N/A

Resultado do script

Nome do resultado do script	Opções de valor	Exemplo
is_success	Verdadeiro/Falso	is_success:False

Resultado do JSON

['Effective URL'] = response['page']['url']

Painel de casos

Tipo de resultado	Valor / Descrição	Tipo
Mensagem de saída*	A ação não pode falhar nem interromper a execução de um playbook: if find some scan ids (is_success = true): print "Successfully fetched results for the following scans: {scan ids} Se não encontrou alguns (is_success = true): print "Não foi possível buscar resultados para as seguintes verificações: {scan ids} Se não encontrar tudo (is_success = false): print "Action wasn't able to fetch results. Os IDs de verificação fornecidos não estão disponíveis usando urlscan.io" A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, etc., imprima "Erro ao executar a ação "Receber detalhes completos da verificação". Motivo: {0}''.format(error.Stacktrace)	Geral
Link do painel de casos	Título: "Relatório da Web do urlscan.io + (ID da verificação).	Geral
Anexo do Painel de casos	Vai conter a captura de tela.	Geral

Tipo de resultado

Valor / Descrição

Tipo

Mensagem de saída*

A ação não pode falhar nem interromper a execução de um playbook:

if find some scan ids (is_success = true): print "Successfully fetched results for the following scans: {scan ids}
Se não encontrou alguns (is_success = true): print "Não foi possível buscar resultados para as seguintes verificações: {scan ids}
Se não encontrar tudo (is_success = false): print "Action wasn't able to fetch results. Os IDs de verificação fornecidos não estão disponíveis usando urlscan.io"

A ação precisa falhar e interromper a execução de um playbook:

Se houver um erro fatal, como credenciais incorretas, sem conexão com o servidor, etc., imprima "Erro ao executar a ação "Receber detalhes completos da verificação". Motivo: {0}''.format(error.Stacktrace)

Geral

Link do painel de casos

Título: "Relatório da Web do urlscan.io + (ID da verificação).

Geral

Anexo do Painel de casos

Vai conter a captura de tela.

Geral

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.