Integrar VirusTotal v3 con Google SecOps
Versión de integración: 37.0
En este documento se explica cómo integrar VirusTotal v3 con Google Security Operations (Google SecOps).
Casos prácticos
La integración de VirusTotal v3 usa las funciones de Google SecOps para admitir los siguientes casos prácticos:
Análisis de archivos: envía un hash de archivo o un archivo a VirusTotal para analizarlo y obtener los resultados del análisis de varios motores antivirus para determinar si el elemento enviado es malicioso.
Análisis de URLs: analiza una URL en la base de datos de VirusTotal para identificar sitios web o páginas de phishing potencialmente maliciosos.
Análisis de direcciones IP: investiga una dirección IP e identifica su reputación y cualquier actividad maliciosa asociada.
Análisis de dominio: analiza un nombre de dominio e identifica su reputación y cualquier actividad maliciosa asociada, como phishing o distribución de malware.
Búsqueda retroactiva: analiza el historial de datos de VirusTotal para buscar archivos, URLs, IPs o dominios que se hayan marcado como maliciosos anteriormente.
Enriquecimiento automatizado: enriquece automáticamente los datos de incidentes con inteligencia frente a amenazas.
Investigación de phishing: analiza correos y archivos adjuntos sospechosos enviándolos a VirusTotal para que los analice.
Análisis de malware: sube muestras de malware a VirusTotal para realizar análisis dinámicos y estáticos, y obtén información valiosa sobre el comportamiento y el impacto potencial de las muestras.
Antes de empezar
Antes de configurar la integración en la plataforma Google SecOps, comprueba que tienes lo siguiente:
API VirusTotal Premium: para que esta integración funcione correctamente, se necesita una suscripción a la API VirusTotal Premium.
Para obtener más información sobre las diferencias entre los niveles de la API, consulte API pública y API premium.
Clave de API: debes configurar una clave de API de VirusTotal antes de configurar la instancia de integración en Google SecOps.
Configurar la clave de API de VirusTotal
Antes de configurar la integración de VirusTotal v3 en Google SecOps, debes obtener y copiar tu clave de API:
Inicia sesión en el portal de VirusTotal.
Ve a Configuración de la cuenta y, debajo de tu nombre de usuario o perfil, haz clic en Clave de API.
Copia la clave de API generada. Usa esta clave para rellenar el
API Keyparámetro de integración.
Parámetros de integración
La integración de VirusTotal v3 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. La clave de API de VirusTotal. |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor VirusTotal v3. Esta opción está habilitada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a acciones pendientes desde Tu espacio de trabajo y Realizar una acción manual.
Add Comment To Entity
Usa la acción Añadir comentario a entidad para añadir un comentario a las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Add Comment To Entity (Añadir comentario a entidad) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. El comentario que se añadirá a las entidades. |
Resultados de la acción
La acción Añadir comentario a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En los siguientes ejemplos se muestran los resultados JSON que se reciben al usar la acción Añadir comentario a entidad:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Comment To Entity puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Añadir comentario a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Add Vote To Entity
Usa la acción Añadir voto a entidad para añadir un voto a las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Añadir voto a entidad requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. El voto que se asignará a la reputación de la entidad. Estos son los valores posibles:
|
Resultados de la acción
La acción Añadir voto a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Add Vote To Entity (Añadir voto a entidad):
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir voto a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Descargar archivo
Usa la acción Descargar archivo para descargar un archivo de VirusTotal.
Esta acción se ejecuta en la entidad File Hash de Google SecOps.
Entradas de acciones
La acción Descargar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta a la carpeta en la que la acción guarda los archivos descargados. |
Overwrite |
Opcional. Si se selecciona esta opción, la acción sustituye cualquier archivo que tenga el mismo nombre que el archivo nuevo descargado. Esta opción está habilitada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Descargar archivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Descargar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Enrich Hash
Usa la acción Enriquecer hash para enriquecer los hashes con información de VirusTotal.
Esta acción se ejecuta en la entidad File Hash de Google SecOps.
Entradas de acciones
La acción Enriquecer hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. El porcentaje mínimo (de Si configuras Si configura tanto |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Resubmit Hash |
Opcional. Si se selecciona esta opción, la acción vuelve a enviar el hash para analizarlo en lugar de usar los resultados que ya haya. Esta opción está inhabilitada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Número mínimo de días que deben transcurrir desde el último análisis antes de volver a enviar el hash. Este parámetro solo se aplica si selecciona el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al hash de VirusTotal. Esta opción está habilitada de forma predeterminada. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el hash. Esta opción está seleccionada de forma predeterminada. |
Sandbox |
Opcional. Lista separada por comas de los entornos de zona de pruebas que se van a usar para el análisis de comportamiento. Si no define ningún valor, la acción usará el valor predeterminado. El valor predeterminado es |
Retrieve Sandbox Analysis |
Opcional. Si se selecciona esta opción, la acción recupera los resultados del análisis de la sandbox correspondiente al hash y crea una sección independiente en la salida JSON por cada sandbox especificada. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción genera una estadística de seguridad que contiene la información de análisis del hash. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo genera estadísticas de los hashes identificados como sospechosos en función de los parámetros de umbral configurados. Este parámetro solo se aplica si Esta opción está inhabilitada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que recupera la acción en cada ejecución. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Fetch Widget |
Opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el hash en la salida del panel de casos. Esta opción está habilitada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK que están relacionadas con el hash. Esta opción está inhabilitada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Nivel de gravedad mínimo de una técnica de MITRE ATT&CK para incluirla en los resultados. La acción trata la gravedad Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Enriquecer hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer hash puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer hash puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer hash puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enriquecer hash puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Title
- Descripción
- Contexto de la respuesta
Tabla de enriquecimiento de entidades
En la siguiente tabla se enumeran los campos enriquecidos mediante la acción Enriquecer hash:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_md5 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha1 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha256 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_ssdeep |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tlsh |
Se aplica cuando está disponible en el resultado JSON. |
VT3_vhash |
Se aplica cuando está disponible en el resultado JSON. |
VT3_meaningful_name |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensajes de salida
La acción Enrich Hash puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer hash:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Enriquecer IOC
Usa la acción Enriquecer IoC para enriquecer los indicadores de riesgo (IoCs) con información de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enrich IOC requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Opcional. El tipo de IoC que se va a enriquecer. El valor predeterminado es Estos son los valores posibles:
|
IOCs |
Obligatorio. Lista de IoCs separada por comas que se van a enriquecer. |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Fetch Widget |
Opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el IoC en la salida del panel de casos. Esta opción está habilitada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer IOC puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer IOC puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Enrich IOC puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich IOC:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Enriquecer IP
Usa la acción Enriquecer IP para enriquecer direcciones IP con información de VirusTotal.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acciones
La acción Enriquecer IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. El porcentaje mínimo (de Si configuras Si configura tanto |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados a la dirección IP de VirusTotal. Esta opción está habilitada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona esta opción, la acción genera una estadística de seguridad que contiene la información de análisis de la dirección IP. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción genera estadísticas solo para las direcciones IP identificadas como sospechosas en función de los parámetros de umbral configurados. Este parámetro solo se aplica si Esta opción está inhabilitada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que recupera la acción en cada ejecución. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Fetch Widget |
Opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con la dirección IP en la salida del panel de casos. Esta opción está habilitada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer IP puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer IP puede proporcionar la siguiente tabla de cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer IP puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla se indican los campos enriquecidos mediante la acción Enriquecer IP:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_owner |
Se aplica cuando está disponible en el resultado JSON. |
VT3_asn |
Se aplica cuando está disponible en el resultado JSON. |
VT3_continent |
Se aplica cuando está disponible en el resultado JSON. |
VT3_country |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_after |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_before |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enrich IP (Enriquecer IP):
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enriquecer IP puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer IP:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
URL de enriquecimiento
Usa la acción Enriquecer URL para enriquecer una URL con información de VirusTotal.
Esta acción se ejecuta en la entidad URL de Google SecOps.
Entradas de acciones
La acción Enriquecer URL requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. El porcentaje mínimo (de Si configuras Si configura tanto |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Resubmit URL |
Opcional. Si se selecciona esta opción, la acción vuelve a enviar la URL para que se analice en lugar de usar los resultados que ya haya. Esta opción está inhabilitada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Número mínimo de días que deben transcurrir desde el último análisis antes de volver a enviar el hash. Este parámetro solo se aplica si selecciona el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados a la URL de VirusTotal. Esta opción está habilitada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona esta opción, la acción genera una estadística de seguridad que contiene la información de análisis de la URL. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo generará estadísticas de las URLs identificadas como sospechosas en función de los parámetros de umbral configurados. Este parámetro solo se aplica si Esta opción está inhabilitada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que recupera la acción en cada ejecución. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Fetch Widget |
Opcional. Si se selecciona esta opción, la acción recupera e incluye el widget de resumen visual relacionado con la URL en el resultado del panel de casos. Esta opción está habilitada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer URL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer URL puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer URL puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer URL puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla se enumeran los campos enriquecidos mediante la acción Enriquecer URL:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_title |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_code |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_content_length |
Se aplica cuando está disponible en el resultado JSON. |
VT3_threat_names |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Enrich URL (Enriquecer URL):
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enriquecer URL puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer URL:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener detalles del dominio
Usa la acción Obtener detalles del dominio para consultar información detallada sobre el dominio con datos de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainHostnameURL
Entradas de acciones
La acción Get Domain Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. El porcentaje mínimo (de Si configuras Si configura tanto |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al dominio de VirusTotal. Esta opción está habilitada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción genera una estadística de seguridad que contiene la información del análisis del dominio. Esta opción está habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo generará estadísticas de las entidades identificadas como sospechosas en función de los parámetros de umbral configurados. Este parámetro solo se aplica si Esta opción está inhabilitada de forma predeterminada. |
Max Comments To Return |
Opcional. Número máximo de comentarios que la acción obtiene del dominio durante cada ejecución. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. Estos son los valores posibles:
El valor predeterminado es |
Fetch Widget |
Opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el dominio en el resultado del panel de casos. Esta opción está habilitada de forma predeterminada. |
Resultados de la acción
La acción Obtener detalles del dominio proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Obtener detalles del dominio puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Obtener detalles del dominio puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Obtener detalles del dominio puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Domain Details (Obtener detalles del dominio):
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Obtener detalles del dominio puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos al usar la acción Obtener detalles del dominio:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener detalles del gráfico
Usa la acción Obtener detalles del gráfico para obtener información detallada sobre los gráficos de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles del gráfico requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Lista de IDs de gráficos separados por comas de los que se van a obtener los detalles. |
Max Links To Return |
Opcional. Número máximo de enlaces que se devuelven por cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles del gráfico proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener detalles del gráfico puede proporcionar la siguiente tabla de cada entidad enriquecida:
Nombre de la tabla: Graph ENTITY_ID Links
Columnas de la tabla:
- Origen
- Objetivo
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Graph Details (Obtener detalles del gráfico):
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Obtener detalles del gráfico puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del gráfico:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Related Domains
Usa la acción Obtener dominios relacionados para obtener los dominios relacionados con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Get Related Domains requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Estructura usada para agregar y agrupar los resultados JSON devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max Domains To Return |
Opcional. Número máximo de dominios que se devolverán. Si selecciona Si selecciona El valor predeterminado es |
Resultados de la acción
La acción Obtener dominios relacionados proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related Domains (Obtener dominios relacionados):
{
"domain": ["example.com"]
}
Mensajes de salida
La acción Get Related Domains puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener dominios relacionados:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Related Hashes
Usa la acción Get Related Hashes (Obtener hashes relacionados) para obtener los hashes relacionados con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Get Related Hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Estructura usada para agregar y agrupar los resultados JSON devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max Hashes To Return |
Opcional. Número máximo de hashes de archivos que se devolverán. Si selecciona Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener hashes relacionados proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensajes de salida
La acción Get Related Hashes puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener hashes relacionados:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Get Related IPs
Usa la acción Obtener IPs relacionadas para obtener las direcciones IP relacionadas con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameURL
Entradas de acciones
La acción Get Related IPs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Estructura usada para agregar y agrupar los resultados JSON devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max IPs To Return |
Opcional. Número máximo de direcciones IP que se devolverán. Si selecciona
Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener IPs relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related IPs (Obtener IPs relacionadas):
{
"ips": ["203.0.113.1"]
}
Mensajes de salida
La acción Get Related IPs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener IPs relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Obtener URLs relacionadas
Usa la acción Obtener URLs relacionadas para obtener las URLs relacionadas con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acciones
La acción Obtener URLs relacionadas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Estructura usada para agregar y agrupar los resultados JSON devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max URLs To Return |
Opcional. Número máximo de URLs que se devolverán. Si selecciona
Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener URLs relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Obtener URLs relacionadas:
{
"urls": ["http://example.com"]
}
Mensajes de salida
La acción Get Related URLs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener URLs relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Ping
Usa la acción Ping para probar la conectividad con VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Buscar gráficos de entidades
Usa la acción Buscar gráficos de entidades para buscar gráficos basados en las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de acciones
La acción Buscar gráficos de entidades requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Opcional. Campo que se usa para ordenar y secuenciar los gráficos de VirusTotal devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción Buscar gráficos de entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Buscar gráficos de entidades puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Buscar gráficos
Usa la acción Buscar gráficos para buscar gráficos basados en filtros personalizados en VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Filtro de consulta del gráfico. Para obtener más información sobre las consultas, consulta los artículos Cómo crear consultas y Modificadores relacionados con gráficos. |
Sort Field |
Opcional. Campo que se usa para ordenar y secuenciar los gráficos de VirusTotal devueltos. Estos son los valores posibles:
El valor predeterminado es |
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devolverán. El valor predeterminado es |
Cómo crear consultas
Para acotar los resultados de búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos de fecha y numéricos admiten sufijos de suma (+) o resta (-). El sufijo "más" ("+") coincide con los valores superiores al valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Si no se incluye ningún sufijo, la consulta devuelve coincidencias exactas.
Para definir intervalos, puedes usar el mismo modificador varias veces en una consulta. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre del 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que empiecen por 0, quite el carácter 0 de la consulta.
Por ejemplo, para dar formato a la fecha 2018-11-01, escribe 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla se indican los modificadores que puede usar para crear la consulta de búsqueda:
| Modificador | Descripción | Ejemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nombre de gráfico. | name:Example-name |
Owner |
Filtra por los gráficos propiedad del usuario. | owner:example_user |
Group |
Filtra por los gráficos que pertenecen a un grupo. | group:example |
Visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
Visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de la última modificación del gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contengan un número específico de nodos. | total_nodes:100 |
Comments_count |
Filtra por el número de comentarios del gráfico. | comments_count:10+ |
Views_count |
Filtra por el número de vistas del gráfico. | views_count:1000+ |
Label |
Filtra los gráficos que contienen nodos con una etiqueta específica. | label:Kill switch |
File |
Filtra por gráficos que contengan el archivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por los gráficos que contienen el dominio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contengan la dirección IP específica. | ip_address:203.0.113.1 |
Url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
Actor |
Filtra por los gráficos que contienen el actor específico. | actor:example actor |
Victim |
Filtra por gráficos que contengan a la víctima específica. | victim:example_user |
Email |
Filtra por gráficos que contengan la dirección de correo específica. | email:user@example.com |
Department |
Filtra por gráficos que contengan el departamento específico. | department:engineers |
Resultados de la acción
La acción Buscar gráficos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Buscar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Buscar gráficos puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar gráficos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Buscar IOCs
Usa la acción Buscar indicadores de compromiso para buscar IOCs en el conjunto de datos de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar indicadores de compromiso requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. La cadena de consulta que se usa para filtrar y buscar IOCs en el conjunto de datos. Para configurar la consulta, sigue la sintaxis de consulta aplicable a la interfaz de usuario de VirusTotal Intelligence. El valor predeterminado es |
Create Entities |
Opcional. Si se selecciona esta opción, la acción crea entidades para los IOCs devueltos. Esta acción no enriquece las entidades. Esta opción está inhabilitada de forma predeterminada. |
Order By |
Obligatorio. Campo que se usa para determinar los criterios de ordenación principales de los resultados devueltos. Los tipos de entidad pueden tener campos de orden diferentes. Para obtener más información sobre cómo buscar archivos en VirusTotal, consulta Búsqueda avanzada de corpus. Estos son los valores posibles:
El valor predeterminado es |
Sort Order |
Opcional. El orden de los resultados. Estos son los valores posibles:
Si selecciona El valor predeterminado es |
Max IOCs To Return |
Opcional. Número máximo de IoCs que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Buscar indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Buscar indicadores de compromiso:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensajes de salida
La acción Buscar indicadores de compromiso puede devolver los siguientes mensajes:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar indicadores de compromiso:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Enviar archivo
Usa la acción Enviar archivo para enviar un archivo y obtener resultados de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enviar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Paths |
Obligatorio. Lista separada por comas de las rutas de archivo absolutas del servidor local o remoto que se van a enviar. Si configuras |
Engine Threshold |
Opcional. El número mínimo de motores que deben marcar un archivo como malicioso o sospechoso para que se considere sospechoso. Si configuras
|
Engine Percentage Threshold |
Opcional. El porcentaje mínimo (de Si configuras Si configura tanto |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Retrieve Comments |
Opcional. Si se selecciona esta opción, la acción recupera los comentarios asociados al archivo de VirusTotal. Los comentarios no se obtienen cuando Esta opción está habilitada de forma predeterminada. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma del archivo. Esta opción está habilitada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que recupera la acción en cada ejecución. El valor predeterminado es |
Linux Server Address |
Opcional. La ubicación de red (dirección IP o nombre de host) de los archivos de origen en el servidor Linux remoto. |
Linux Username |
Opcional. Nombre de usuario de autenticación del servidor Linux remoto. |
Linux Password |
Opcional. La contraseña de autenticación del servidor Linux remoto. |
Private Submission |
Opcional. Si se selecciona, la acción envía el archivo de forma privada. Para enviar el archivo de forma privada, se requiere acceso a VirusTotal Premium. Esta opción está inhabilitada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK relacionadas con el hash. Esta opción está inhabilitada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Nivel de gravedad mínimo de una técnica de MITRE ATT&CK para incluirla en los resultados. La acción trata Estos son los valores posibles:
El valor predeterminado es |
Retrieve AI Summary |
Opcional. Si se selecciona, la acción obtiene un resumen generado por IA del archivo. Esta opción solo está disponible para los envíos privados. Este parámetro es experimental. Esta opción está inhabilitada de forma predeterminada. |
Resultados de la acción
La acción Enviar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enviar archivo puede devolver los siguientes enlaces:
Nombre: Enlace del informe: PATH
Valor: URL
Tabla del panel de casos
La acción Enviar archivo puede proporcionar la siguiente tabla para cada archivo enviado:
Nombre de la tabla: Resultados: PATH
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enviar archivo puede proporcionar la siguiente tabla para cada archivo enviado que tenga comentarios:
Nombre de la tabla: Comentarios: PATH
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enviar archivo puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Title
- Descripción
- Contexto de la respuesta
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enviar archivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enviar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
true o false |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
VirusTotal - Livehunt Connector
Usa VirusTotal - Livehunt Connector para obtener información sobre las notificaciones de Livehunt de VirusTotal y los archivos relacionados.
Reglas de conectores
El conector VirusTotal - Livehunt admite proxies.
Entradas de conectores
El conector Livehunt de VirusTotal requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. La clave de API de VirusTotal. |
Engine Percentage Threshold To Fetch |
Obligatorio. El umbral de porcentaje mínimo de motores de seguridad (de El valor predeterminado es |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. El cálculo excluye los buscadores que no proporcionan información de entidades. Si no se proporciona ningún valor, la acción usa todos los buscadores disponibles. |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Patrón de expresión regular que se va a ejecutar en el valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Event Field Name |
Obligatorio. Nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Max Hours Backwards |
Opcional. Número de horas de retrospectiva para obtener alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo de conector caducada. El valor predeterminado es |
Max Notifications To Fetch |
Opcional. El número máximo de notificaciones que se procesarán en cada ejecución del conector. El valor predeterminado es |
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El nombre del producto influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de reserva al que se hace referencia desde el código. Cualquier entrada no válida de este parámetro se resuelve en un valor de reserva de forma predeterminada. El valor predeterminado es |
Proxy Password |
Opcional. La contraseña para la autenticación del servidor proxy. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario para la autenticación del servidor proxy. |
PythonProcessTimeout |
Obligatorio. El límite de tiempo de espera, en segundos, del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Use dynamic list as a blacklist |
Opcional. Si se selecciona esta opción, el conector usará la lista dinámica como lista de bloqueo. Esta opción está inhabilitada de forma predeterminada. |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse al servidor de VirusTotal. Esta opción está habilitada de forma predeterminada. |
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.