Integra VirusTotal v3 con Google SecOps
Versión de integración: 37.0
En este documento, se explica cómo integrar VirusTotal v3 con Google Security Operations (Google SecOps).
Casos de uso
La integración de VirusTotal v3 usa las capacidades de SecOps de Google para admitir los siguientes casos de uso:
Análisis de archivos: Envía un hash de archivo o un archivo a VirusTotal para su análisis y recupera los resultados del análisis de varios motores de antivirus para determinar si el elemento enviado es malicioso.
Análisis de URL: Ejecuta una URL en la base de datos de VirusTotal para identificar sitios web o páginas de phishing potencialmente maliciosos.
Análisis de direcciones IP: Investiga una dirección IP e identifica su reputación y cualquier actividad maliciosa asociada.
Análisis de dominio: Analiza un nombre de dominio y determina su reputación y cualquier actividad maliciosa asociada, como phishing o distribución de software malicioso.
Retrohunting: Analiza los datos históricos de VirusTotal para buscar archivos, URLs, IPs o dominios que se hayan marcado como maliciosos anteriormente.
Enriquecimiento automatizado: Enriquecimiento automático de los datos de incidentes con inteligencia de amenazas
Investigación de phishing: Analiza los correos electrónicos y los archivos adjuntos sospechosos enviándolos a VirusTotal para su análisis.
Análisis de software malicioso: Sube muestras de software malicioso a VirusTotal para realizar análisis dinámicos y estáticos, y obtener estadísticas sobre el comportamiento y el impacto potencial de las muestras.
Antes de comenzar
Antes de configurar la integración en la plataforma de SecOps de Google, verifica que tengas lo siguiente:
API de VirusTotal Premium: Para funcionar correctamente, esta integración requiere una suscripción a la API de VirusTotal Premium.
Para obtener más información sobre las diferencias entre los niveles de la API, consulta API pública vs. API Premium.
Clave de API: Debes configurar una clave de API de VirusTotal antes de configurar la instancia de integración en Google SecOps.
Configura la clave de la API de VirusTotal
Antes de configurar la integración de VirusTotal v3 en Google SecOps, debes obtener y copiar tu clave de API:
Accede al portal de VirusTotal.
Ve a Configuración de la cuenta y, debajo de tu nombre de usuario o perfil, haz clic en Clave de API.
Copia la clave de API generada. Usa esta clave para completar el parámetro de integración
API Key.
Parámetros de integración
La integración de VirusTotal v3 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. Es la clave de la API de VirusTotal. |
Verify SSL |
Es opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta al servidor de VirusTotal v3. Habilitada de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu escritorio y Cómo realizar una acción manual.
Agregar comentario a la entidad
Usa la acción Add Comment To Entity para agregar un comentario a las entidades en VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Add Comment To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. Comentario que se agregará a las entidades. |
Resultados de la acción
La acción Add Comment To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En los siguientes ejemplos, se muestran los resultados JSON que se reciben cuando se usa la acción Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Comment To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Comment To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Agregar voto a la entidad
Usa la acción Add Vote To Entity para agregar un voto a las entidades en VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Add Vote To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. Es el voto que se asignará a la reputación de la entidad. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Add Vote To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Vote To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Descargar archivo
Usa la acción Download File para descargar un archivo de VirusTotal.
Esta acción se ejecuta en la entidad File Hash de Google SecOps.
Entradas de acción
La acción Download File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta de acceso a la carpeta en la que la acción guarda los archivos descargados. |
Overwrite |
Es opcional. Si se selecciona esta opción, la acción reemplaza cualquier archivo existente que tenga el mismo nombre que el archivo nuevo descargado. Habilitada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Download File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Hash de enriquecimiento
Usa la acción Enrich Hash para enriquecer los hashes con información de VirusTotal.
Esta acción se ejecuta en la entidad File Hash de Google SecOps.
Entradas de acción
La acción Enrich Hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Es opcional. Es la cantidad mínima de motores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Es opcional. Es el porcentaje mínimo (de Si configuras Si configuras |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Resubmit Hash |
Es opcional. Si se selecciona, la acción vuelve a enviar el hash para su análisis en lugar de usar los resultados existentes. Está inhabilitado de forma predeterminada. |
Resubmit After (Days) |
Es opcional. Es la cantidad mínima de días que deben transcurrir desde el último análisis antes de volver a enviar el hash. Este parámetro solo se aplica si seleccionas el parámetro El valor predeterminado es |
Retrieve Comments |
Es opcional. Si se selecciona, la acción recupera los comentarios asociados con el hash de VirusTotal. Habilitada de forma predeterminada. |
Retrieve Sigma Analysis |
Es opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el hash. Esta opción está seleccionada de forma predeterminada. |
Sandbox |
Es opcional. Es una lista separada por comas de los entornos de zona de pruebas que se usarán para el análisis del comportamiento. Si no estableces un valor, la acción usará el valor predeterminado. El valor predeterminado es |
Retrieve Sandbox Analysis |
Es opcional. Si se selecciona, la acción recupera los resultados del análisis de zona de pruebas para el hash y crea una sección separada en el resultado JSON para cada zona de pruebas especificada. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Es opcional. Si se selecciona, la acción genera una estadística de seguridad que contiene la información del análisis del hash. Habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Es opcional. Si se selecciona, la acción solo genera estadísticas sobre los hashes identificados como sospechosos según los parámetros de umbral configurados. Este parámetro solo se aplica si Está inhabilitado de forma predeterminada. |
Max Comments To Return |
Es opcional. Es la cantidad máxima de comentarios que recupera la acción durante cada ejecución. El valor predeterminado es |
Widget Theme |
Es opcional. Es el tema que se usará para el widget de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Fetch Widget |
Es opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el hash en el resultado del muro de casos. Habilitada de forma predeterminada. |
Fetch MITRE Details |
Es opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK® que se relacionan con el hash. Está inhabilitado de forma predeterminada. |
Lowest MITRE Technique Severity |
Es opcional. Es el nivel de gravedad mínimo para que se incluya una técnica de MITRE ATT&CK en los resultados. La acción trata la gravedad Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Enrich Hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich Hash puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Título
- Descripción
- Contexto de la coincidencia
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich Hash:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_md5 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha1 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha256 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_ssdeep |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tlsh |
Se aplica cuando está disponible en el resultado JSON. |
VT3_vhash |
Se aplica cuando está disponible en el resultado JSON. |
VT3_meaningful_name |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensajes de salida
La acción Enrich Hash puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Hash:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enriquece el IOC
Usa la acción Enrich IOC para enriquecer los indicadores de compromiso (IoC) con información de VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Enrich IOC requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Es opcional. Es el tipo de IoC que se enriquecerá. El valor predeterminado es Los valores posibles son los siguientes:
|
IOCs |
Obligatorio. Es una lista de IoCs separados por comas para enriquecer. |
Widget Theme |
Es opcional. Es el tema que se usará para el widget de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Fetch Widget |
Es opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el IoC en el resultado del muro de casos. Habilitada de forma predeterminada. |
Resultados de la acción
La acción Enrich IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich IOC puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich IOC puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Enrich IOC puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IOC:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enriquecer IP
Usa la acción Enrich IP para enriquecer las direcciones IP con información de VirusTotal.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acción
La acción Enrich IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Es opcional. Es la cantidad mínima de motores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Es opcional. Es el porcentaje mínimo (de Si configuras Si configuras |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Retrieve Comments |
Es opcional. Si se selecciona, la acción recupera los comentarios asociados a la dirección IP de VirusTotal. Habilitada de forma predeterminada. |
Create Insight |
Es opcional. Si se selecciona, la acción genera una estadística de seguridad que contiene la información de análisis de la dirección IP. Habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Es opcional. Si se selecciona esta opción, la acción solo genera estadísticas para las direcciones IP identificadas como sospechosas según los parámetros de umbral configurados. Este parámetro solo se aplica si Está inhabilitado de forma predeterminada. |
Max Comments To Return |
Es opcional. Es la cantidad máxima de comentarios que recupera la acción durante cada ejecución. El valor predeterminado es |
Widget Theme |
Es opcional. Es el tema que se usará para el widget de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Fetch Widget |
Es opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con la dirección IP en el resultado del muro de casos. Habilitada de forma predeterminada. |
Resultados de la acción
La acción Enrich IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich IP puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich IP puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich IP puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich IP:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_owner |
Se aplica cuando está disponible en el resultado JSON. |
VT3_asn |
Se aplica cuando está disponible en el resultado JSON. |
VT3_continent |
Se aplica cuando está disponible en el resultado JSON. |
VT3_country |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_after |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_before |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enrich IP puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
|
La acción se completó correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IP:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
URL de enriquecimiento
Usa la acción Enrich URL para enriquecer una URL con información de VirusTotal.
Esta acción se ejecuta en la entidad URL de Google SecOps.
Entradas de acción
La acción Enrich URL requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Es opcional. Es la cantidad mínima de motores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Es opcional. Es el porcentaje mínimo (de Si configuras Si configuras |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Resubmit URL |
Es opcional. Si se selecciona, la acción vuelve a enviar la URL para su análisis en lugar de usar los resultados existentes. Está inhabilitado de forma predeterminada. |
Resubmit After (Days) |
Es opcional. Es la cantidad mínima de días que deben transcurrir desde el último análisis antes de volver a enviar el hash. Este parámetro solo se aplica si seleccionas el parámetro El valor predeterminado es |
Retrieve Comments |
Es opcional. Si se selecciona, la acción recupera los comentarios asociados a la URL de VirusTotal. Habilitada de forma predeterminada. |
Create Insight |
Es opcional. Si se selecciona, la acción genera una sugerencia de seguridad que contiene la información del análisis de la URL. Habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Es opcional. Si se selecciona esta opción, la acción solo genera estadísticas para las URLs identificadas como sospechosas según los parámetros de umbral configurados. Este parámetro solo se aplica si Está inhabilitado de forma predeterminada. |
Max Comments To Return |
Es opcional. Es la cantidad máxima de comentarios que recupera la acción durante cada ejecución. El valor predeterminado es |
Widget Theme |
Es opcional. Es el tema que se usará para el widget de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Fetch Widget |
Es opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con la URL en el resultado del muro de casos. Habilitada de forma predeterminada. |
Resultados de la acción
La acción Enrich URL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich URL puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich URL puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich URL puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich URL:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_title |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_code |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_content_length |
Se aplica cuando está disponible en el resultado JSON. |
VT3_threat_names |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enrich URL puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich URL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén detalles del dominio
Usa la acción Get Domain Details para recuperar información detallada sobre el dominio con datos de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainHostnameURL
Entradas de acción
La acción Get Domain Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Es opcional. Es la cantidad mínima de motores que deben marcar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Es opcional. Es el porcentaje mínimo (de Si configuras Si configuras |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Retrieve Comments |
Es opcional. Si se selecciona, la acción recupera los comentarios asociados al dominio desde VirusTotal. Habilitada de forma predeterminada. |
Create Insight |
Es opcional. Si se selecciona, la acción genera una sugerencia de seguridad que contiene la información del análisis del dominio. Habilitada de forma predeterminada. |
Only Suspicious Entity Insight |
Es opcional. Si se selecciona esta opción, la acción solo genera estadísticas para las entidades identificadas como sospechosas según los parámetros de umbral configurados. Este parámetro solo se aplica si Está inhabilitado de forma predeterminada. |
Max Comments To Return |
Es opcional. Es la cantidad máxima de comentarios que la acción recupera para el dominio durante cada ejecución. El valor predeterminado es |
Widget Theme |
Es opcional. Es el tema que se usará para el widget de VirusTotal. Los valores posibles son los siguientes:
El valor predeterminado es |
Fetch Widget |
Es opcional. Si se selecciona, la acción recupera e incluye el widget de resumen visual relacionado con el dominio en el resultado del muro de casos. Habilitada de forma predeterminada. |
Resultados de la acción
La acción Get Domain Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Get Domain Details puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Get Domain Details puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Get Domain Details puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Get Domain Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Domain Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén detalles del gráfico
Usa la acción Get Graph Details para obtener información detallada sobre los gráficos en VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Get Graph Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Es una lista separada por comas de los IDs de los gráficos para los que se recuperarán detalles. |
Max Links To Return |
Es opcional. Es la cantidad máxima de vínculos que se devolverán para cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Get Graph Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Graph Details puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: Graph ENTITY_ID Links
Columnas de la tabla:
- Origen
- Target
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Get Graph Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Graph Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener dominios relacionados
Usa la acción Get Related Domains para obtener los dominios relacionados con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Get Related Domains requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Es opcional. Es la estructura que se usa para agregar y agrupar los resultados JSON devueltos. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Domains To Return |
Es opcional. Es la cantidad máxima de dominios que se devolverán. Si seleccionas Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related Domains proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Domains:
{
"domain": ["example.com"]
}
Mensajes de salida
La acción Get Related Domains puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Related Domains:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener hashes relacionados
Usa la acción Get Related Hashes para obtener los hashes relacionados con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Get Related Hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Es opcional. Es la estructura que se usa para agregar y agrupar los resultados JSON devueltos. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Hashes To Return |
Es opcional. Es la cantidad máxima de hashes de archivos que se devolverán. Si seleccionas Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related Hashes proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensajes de salida
La acción Get Related Hashes puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related Hashes:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtén IPs relacionadas
Usa la acción Get Related IPs para obtener las direcciones IP relacionadas con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameURL
Entradas de acción
La acción Get Related IPs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Es opcional. Es la estructura que se usa para agregar y agrupar los resultados JSON devueltos. Los valores posibles son los siguientes:
El valor predeterminado es |
Max IPs To Return |
Es opcional. Es la cantidad máxima de direcciones IP que se devolverán. Si seleccionas Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related IPs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Mensajes de salida
La acción Get Related IPs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Related IPs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Obtener URLs relacionadas
Usa la acción Get Related URLs para obtener las URLs relacionadas con las entidades proporcionadas de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de acción
La acción Get Related URLs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Es opcional. Es la estructura que se usa para agregar y agrupar los resultados JSON devueltos. Los valores posibles son los siguientes:
El valor predeterminado es |
Max URLs To Return |
Es opcional. Es la cantidad máxima de URLs que se devolverán. Si seleccionas Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related URLs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related URLs:
{
"urls": ["http://example.com"]
}
Mensajes de salida
La acción Get Related URLs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related URLs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Ping
Usa la acción Ping para probar la conectividad a VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Gráficos de entidades de la Búsqueda
Usa la acción Search Entity Graphs para buscar gráficos basados en las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de acción
La acción Search Entity Graphs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Es opcional. Es el campo que se usa para ordenar y secuenciar los gráficos de VirusTotal que se muestran. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Graphs To Return |
Es opcional. Es la cantidad máxima de gráficos que se devolverán. El valor predeterminado es |
Resultados de la acción
La acción Search Entity Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Search Entity Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Gráficos de búsqueda
Usa la acción Search Graphs para buscar gráficos basados en filtros personalizados en VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es el filtro de consulta del gráfico. Para obtener más información sobre las consultas, consulta Cómo crear consultas y Modificadores relacionados con gráficos. |
Sort Field |
Es opcional. Es el campo que se usa para ordenar y secuenciar los gráficos de VirusTotal que se muestran. Los valores posibles son los siguientes:
El valor predeterminado es |
Max Graphs To Return |
Es opcional. Es la cantidad máxima de gráficos que se devolverán. El valor predeterminado es |
Cómo crear consultas
Para definir mejor los resultados de la búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos numéricos y de fecha admiten sufijos de más (+) o menos (-). Un sufijo de signo más coincide con los valores mayores que el valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Sin un sufijo, la búsqueda devuelve coincidencias exactas.
Para definir rangos, puedes usar el mismo modificador varias veces en una búsqueda. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre de 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que comienzan con 0, quita el carácter 0 de la búsqueda.
Por ejemplo, dale formato a la fecha 2018-11-01 como 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla, se enumeran los modificadores que puedes usar para crear la búsqueda:
| Modificador | Descripción | Ejemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nombre del gráfico. | name:Example-name |
Owner |
Filtra por los gráficos que son propiedad del usuario. | owner:example_user |
Group |
Filtra los gráficos que son propiedad de un grupo. | group:example |
Visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
Visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de modificación del gráfico más reciente. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contienen una cantidad específica de nodos. | total_nodes:100 |
Comments_count |
Filtra por la cantidad de comentarios en el gráfico. | comments_count:10+ |
Views_count |
Filtra por la cantidad de vistas del gráfico. | views_count:1000+ |
Label |
Filtra los gráficos que contienen nodos con una etiqueta específica. | label:Kill switch |
File |
Filtra los gráficos que contienen el archivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra los gráficos que contienen el dominio específico. | domain:example.com |
Ip_address |
Filtra por los gráficos que contienen la dirección IP específica. | ip_address:203.0.113.1 |
Url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
Actor |
Filtra los gráficos que contienen el actor específico. | actor:example actor |
Victim |
Filtra los gráficos que contienen a la víctima específica. | victim:example_user |
Email |
Filtra por los gráficos que contienen la dirección de correo electrónico específica. | email:user@example.com |
Department |
Filtra los gráficos que contienen el departamento específico. | department:engineers |
Resultados de la acción
La acción Search Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Search Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Search Graphs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Buscar IOC
Usa la acción Search IOCs para buscar IOC en el conjunto de datos de VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Search IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es la cadena de consulta que se usa para filtrar y buscar IOC en el conjunto de datos. Para configurar la consulta, sigue la sintaxis de consulta aplicable a la interfaz de usuario de VirusTotal Intelligence. El valor predeterminado es |
Create Entities |
Es opcional. Si se selecciona, la acción crea entidades para los IOC devueltos. Esta acción no enriquece las entidades. Está inhabilitado de forma predeterminada. |
Order By |
Obligatorio. Es el campo que se usa para determinar el criterio de ordenamiento principal de los resultados devueltos. Los tipos de entidades pueden tener diferentes campos de orden. Para obtener más información sobre cómo buscar archivos en VirusTotal, consulta Búsqueda avanzada en el corpus. Los valores posibles son los siguientes:
El valor predeterminado es |
Sort Order |
Es opcional. Es el orden de clasificación de los resultados. Los valores posibles son los siguientes:
Si seleccionas El valor predeterminado es |
Max IOCs To Return |
Es opcional. Es la cantidad máxima de IoCs que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Search IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensajes de salida
La acción Search IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Search IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Enviar archivo
Usa la acción Submit File para enviar un archivo y obtener resultados de VirusTotal.
Esta acción no se ejecuta en las entidades de SecOps de Google.
Entradas de acción
La acción Submit File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Paths |
Obligatorio. Es una lista separada por comas de las rutas de acceso absolutas de los archivos en el servidor local o remoto que se enviarán. Si configuras |
Engine Threshold |
Es opcional. Es la cantidad mínima de motores que deben marcar un archivo como malicioso o sospechoso para que se considere sospechoso. Si configuras |
Engine Percentage Threshold |
Es opcional. Es el porcentaje mínimo (de Si configuras Si configuras |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Retrieve Comments |
Es opcional. Si se selecciona, la acción recupera los comentarios asociados al archivo de VirusTotal. Los comentarios no se recuperan cuando Habilitada de forma predeterminada. |
Retrieve Sigma Analysis |
Es opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el archivo. Habilitada de forma predeterminada. |
Max Comments To Return |
Es opcional. Es la cantidad máxima de comentarios que recupera la acción durante cada ejecución. El valor predeterminado es |
Linux Server Address |
Es opcional. Ubicación de red (dirección IP o nombre de host) de los archivos fuente en el servidor Linux remoto. |
Linux Username |
Es opcional. Nombre de usuario de autenticación para el servidor Linux remoto. |
Linux Password |
Es opcional. Contraseña de autenticación para el servidor Linux remoto. |
Private Submission |
Es opcional. Si se selecciona, la acción envía el archivo de forma privada. Para enviar el archivo de forma privada, se requiere acceso a VirusTotal Premium. Está inhabilitado de forma predeterminada. |
Fetch MITRE Details |
Es opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK relacionadas con el hash. Está inhabilitado de forma predeterminada. |
Lowest MITRE Technique Severity |
Es opcional. Es el nivel de gravedad mínimo para que se incluya una técnica de MITRE ATT&CK en los resultados. La acción trata Los valores posibles son los siguientes:
El valor predeterminado es |
Retrieve AI Summary |
Es opcional. Si se selecciona, la acción recupera un resumen generado por IA para el archivo. Esta opción solo está disponible para los envíos privados. Este parámetro es experimental. Está inhabilitado de forma predeterminada. |
Resultados de la acción
La acción Submit File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Submit File puede devolver los siguientes vínculos:
Nombre: Vínculo del informe: PATH
Valor: URL
Tabla del muro de casos
La acción Submit File puede proporcionar la siguiente tabla para cada archivo enviado:
Nombre de la tabla: Resultados: PATH
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Submit File puede proporcionar la siguiente tabla para cada archivo enviado que tenga comentarios:
Nombre de la tabla: Comments: PATH
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Submit File puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Título
- Descripción
- Contexto de la coincidencia
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Submit File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Submit File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Submit File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
true o false |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
VirusTotal - Livehunt Connector
Usa el conector de VirusTotal Livehunt para extraer información sobre las notificaciones de VirusTotal Livehunt y los archivos relacionados.
Reglas del conector
El conector de Livehunt de VirusTotal admite proxies.
Entradas del conector
El conector de VirusTotal Livehunt requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. Es la clave de la API de VirusTotal. |
Engine Percentage Threshold To Fetch |
Obligatorio. Es el umbral de porcentaje mínimo de los motores de seguridad ( El valor predeterminado es |
Engine Whitelist |
Es opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. El cálculo excluye los motores que no proporcionan información de la entidad. Si no se proporciona ningún valor, la acción usa todos los motores disponibles. |
Environment Field Name |
Es opcional. Nombre del campo en el que se almacena el nombre del entorno. Si falta el campo environment, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Es opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
Event Field Name |
Obligatorio. Es el nombre del campo que determina el nombre del evento (subtipo). El valor predeterminado es |
Max Hours Backwards |
Es opcional. Cantidad de horas de período para recuperar alertas. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para la marca de tiempo de un conector vencido. El valor predeterminado es |
Max Notifications To Fetch |
Es opcional. Es la cantidad máxima de notificaciones que se procesarán en cada ejecución del conector. El valor predeterminado es |
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado se resuelve en un valor de resguardo al que se hace referencia desde el código. De forma predeterminada, cualquier entrada no válida para este parámetro se resuelve en un valor de resguardo. El valor predeterminado es |
Proxy Password |
Es opcional. Es la contraseña para la autenticación del servidor proxy. |
Proxy Server Address |
Es opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Es opcional. Nombre de usuario para la autenticación del servidor proxy. |
PythonProcessTimeout |
Obligatorio. Es el límite de tiempo de espera, en segundos, para el proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
Use dynamic list as a blacklist |
Es opcional. Si se selecciona esta opción, el conector usa la lista dinámica como lista de bloqueo. Está inhabilitado de forma predeterminada. |
Verify SSL |
Es opcional. Si se selecciona esta opción, la integración valida el certificado SSL cuando se conecta al servidor de VirusTotal. Habilitada de forma predeterminada. |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.