urlscan.io
集成版本:24.0
配置 urlscan.io 以与 Google Security Operations 搭配使用
API 密钥
如需获取 API 密钥,请登录您的 urlscan.io 账号。
点击页面个人资料部分中的添加 API 密钥按钮。
添加有关您将如何使用 API 密钥的说明,然后点击创建 API 密钥。
您的新 API 密钥已生成。请务必复制 API 密钥,以便将其添加到 urlscan.io 的 Google SecOps 配置中。
网络
| 函数 | 默认端口 | 方向 | 协议 |
|---|---|---|---|
| API | 多值 | 出站 | apikey |
在 Google SecOps 中配置 urlscan.io 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
Ping
说明
测试连接。
参数
不适用
使用场景
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
网址检查
说明
提交要扫描的网址并获取扫描详细信息。
参数
| 参数名称 | 类型 | 是必填字段 | 默认值 | 说明 |
|---|---|---|---|---|
| 公开范围 | DDL |
否 | 公开 | urlscan.io 上的扫描结果有三种可见性级别,请务必为您的提交内容使用适当的级别。 |
| 阈值 | 整数 | 否 | -1 | 如果判决得分不低于给定的阈值,则将实体标记为可疑。默认值为 -1,在这种情况下,我们会将每个扫描的网址都视为可疑网址。 |
| 创建分析数据 | 布尔值 | 否 | 是 | 如果启用,操作将创建包含实体相关信息的分析洞见。 |
| 仅限可疑数据洞见 | 布尔值 | 否 | 否 | 如果启用,操作将仅针对可疑实体创建数据洞见。注意:需要启用“创建数据洞见”参数。 |
| 向分析洞见添加屏幕截图 | 布尔值 | 否 | 否 | 如果启用,操作会向数据洞见添加网站的屏幕截图(如果有)。 |
使用场景
不适用
运行于
此操作适用于以下实体:
- IP 地址
- 网域
- 网址
操作执行结果
实体扩充
| 名称 | 键 |
|---|---|
| real_url | tasks/url |
| visibility | visibility |
| requests_count | len(data/requests) |
| Cookie | 数据/Cookie/名称的 CSV 文件 |
| related_links | 数据/链接/href 的 CSV 文件 |
| main_country | 网页/国家/地区 |
| main_domain | 网页/网域 |
| main_ip | 网页/IP |
| main_asn | page/asnname |
| main_server | 网页/服务器 |
| related_ips_count | len(lists/ips) |
| related_domains_count | len(lists/domains) |
| related_countries | CSV 列表/国家/地区 |
| overall_score | 判决/总体/得分 |
| categories | verdicts/overall/categories |
| 标签 | 判决/总体/标记 |
| 恶意 | 判决/总体/恶意 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult":
{
"task":
{
"domURL": "https://urlscan.io/dom/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
"screenshotURL": "https://urlscan.io/screenshots/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b.png",
"uuid": "7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b",
"url": "http://markossolomon.com/f1q7qx.php",
"visibility": "public",
"source": "12a3ddaf",
"time": "2019-01-31T15:19:55.267Z",
"reportURL": "https://urlscan.io/result/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
"method": "api"
},
"stats":
{
"malicious": 0,
"uniqCountries": 1,
"totalLinks": 3,
"secureRequests": 14,
"securePercentage": 93,
"adBlocked": 0,
"IPv6Percentage": 50
},
"page":
{
"city": "Los Angeles",
"domain": "markossolomon.com",
"asn": "AS22612",
"url": "http://markossolomon.com/f1q7qx.php",
"ip": "1.1.1.1",
"asnname": "NAMECHEAP-NET - Namecheap, Inc., US",
"server": "nginx",
"country": "US",
"ptr": ""
},
"lists":
{
"linkDomains": ["www.namecheap.com",
"ap.www.namecheap.com"],
"countries": ["US"],
"asns": ["22612"],
"servers": ["cloudflare",
"nginx"],
"ips": ["198.54.117.244"],
"urls": ["http://markossolomon.com/f1q7qx.php"],
"domains": ["nc-img.com"],
"hashes": ["f31c0889d28c7d713f237a8cea8cfbc5cb4cba63fad767666cce2bbc99746d1a"],
"certificates": [{
"subjectName": "nc-img.com",
"validFrom": 1534204800,
"validTo": 1565827199,
"issuer": "COMODO RSA Domain Validation Secure Server CA"
}]
}},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
搜索扫描
说明
按网域、IP、自治系统 (AS) 编号、哈希等属性搜索 urlscan.io 的现有扫描结果。此操作将查找任何人执行的公开扫描,以及您或您的团队执行的不公开列出和私享扫描。
参数
| 参数名称 | 类型 | 是必填字段 | 默认值 | 说明 |
|---|---|---|---|---|
| 最大扫描次数 | 整数 | 否 | 100 | 每个实体要返回的扫描次数。默认值:100;最大值:10, 000(取决于订阅)。 |
运行于
此操作适用于以下实体:
- IP 地址
- 主机名
- 网址
- 文件名
- 哈希值
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{"entity_identifier": "www.unitedneighborsfcu.com",
"entity_results":[
{
"indexedAt": "2020-12-09T12:16:43.329Z",
"task": {
"visibility": "public",
"method": "automatic",
"domain": "www.unitedneighborsfcu.com",
"time": "2020-12-09T12:16:23.168Z",
"source": "certstream-suspicious",
"uuid": "96310829-fed4-4d61-9fb0-39eb2952719f",
"url": "https://www.unitedneighborsfcu.com"
},
"stats": {
"uniqIPs": 6,
"consoleMsgs": 0,
"uniqCountries": 3,
"dataLength": 1938842,
"encodedDataLength": 1568193,
"requests": 28
},
"page": {
"country": "US",
"server": "Microsoft-IIS/10.0",
"domain": "www.unitedneighborsfcu.com",
"ip": "8.21.114.55",
"mimeType": "text/html",
"asnname": "LEVEL3, US",
"asn": "AS3356",
"url": "https://www.unitedneighborsfcu.com/",
"status": "200"
},
"_id": "96310829-fed4-4d61-9fb0-39eb2952719f",
"sort": [1607516183168, "96310829-fed4-4d61-9fb0-39eb2952719f"],
"result": "https://urlscan.io/api/v1/result/96310829-fed4-4d61-9fb0-39eb2952719f/",
"screenshot": "https://urlscan.io/screenshots/96310829-fed4-4d61-9fb0-39eb2952719f.png"
}
]
}
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
|
常规 |
| “案例墙”表格 | 标题:“{实体标识符} - 搜索结果” 列: 扫描 ID 网址 扫描日期 大小 IPS 唯一国家/地区数 国家/地区 扫描类型 |
常规 |
| 案例墙链接 | 标题:“urlscan.io 网页报告 +(实体 ID)”。urlscan.io | 常规 |
| 案例墙附件 | 将包含屏幕截图。 | 常规 |
获取扫描完整详情
说明
按扫描 ID 获取扫描完整详细信息
参数
| 参数名称 | 类型 | 是必填字段 | 默认值 | 说明 |
|---|---|---|---|---|
| 扫描 ID | 字符串 | 是 | 不适用 | 使用扫描 ID 获取扫描报告。以英文逗号分隔的值。 |
运行于
此操作不会在实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
['Effective URL'] = response['page']['url']
案例墙
| 结果类型 | 值 / 说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行:
操作应失败并停止 playbook 执行:
|
常规 |
| 案例墙链接 | 标题:“urlscan.io 网页报告 +(扫描 ID)。 | 常规 |
| 案例墙附件 | 将包含屏幕截图。 | 常规 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。