Mengintegrasikan VirusTotal v3 dengan Google SecOps
Dokumen ini menjelaskan cara mengintegrasikan VirusTotal v3 dengan Google Security Operations (Google SecOps).
Versi integrasi: 34.0
Integrasi ini menggunakan VirusTotal API v3. Untuk mengetahui informasi selengkapnya tentang VirusTotal API v3, lihat Ringkasan VirusTotal API v3.
Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap yang di-zip dari integrasi ini dari bucket Cloud Storage.
Kasus penggunaan
Integrasi VirusTotal v3 dapat membantu Anda menyelesaikan kasus penggunaan berikut:
Analisis file: gunakan kemampuan Google SecOps untuk mengirimkan hash file atau file ke VirusTotal untuk dianalisis dan mengambil hasil pemindaian dari beberapa mesin antivirus untuk menentukan apakah item yang dikirimkan berisi malware.
Analisis URL: gunakan kemampuan Google SecOps untuk menjalankan URL terhadap database VirusTotal guna mengidentifikasi situs atau halaman phishing yang berpotensi berbahaya.
Analisis alamat IP: gunakan kemampuan Google SecOps untuk menyelidiki alamat IP dan mengidentifikasi reputasinya serta aktivitas berbahaya terkait.
Analisis domain: gunakan kemampuan Google SecOps untuk menganalisis nama domain dan mengidentifikasi reputasinya serta aktivitas berbahaya yang terkait, seperti phishing atau distribusi malware.
Retrohunting: gunakan kemampuan Google SecOps untuk memindai data historis VirusTotal guna menelusuri file, URL, IP, atau domain yang sebelumnya ditandai sebagai berbahaya.
Pengayaan otomatis: gunakan kemampuan Google SecOps untuk memperkaya data insiden secara otomatis dengan kecerdasan ancaman.
Investigasi phishing: gunakan kemampuan Google SecOps untuk menganalisis email dan lampiran yang mencurigakan dengan mengirimkannya ke VirusTotal untuk dianalisis.
Analisis malware: gunakan kemampuan Google SecOps untuk mengupload sampel malware ke VirusTotal untuk analisis dinamis dan statis serta mendapatkan insight tentang perilaku dan potensi dampak sampel.
Sebelum memulai
Agar berfungsi dengan baik, integrasi ini memerlukan VirusTotal Premium API. Untuk mengetahui informasi selengkapnya tentang VirusTotal Premium API, lihat API Publik vs. Premium.
Sebelum mengonfigurasi integrasi VirusTotal v3 di Google SecOps, konfigurasi kunci API di VirusTotal.
Untuk mengonfigurasi kunci API, selesaikan langkah-langkah berikut:
- Login ke portal VirusTotal.
- Di bagian nama pengguna Anda, klik Kunci API.
- Salin kunci API yang dibuat untuk menggunakannya di parameter integrasi.
- Klik Simpan.
Parameter integrasi
Integrasi VirusTotal v3 memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Key |
Wajib. Kunci API VirusTotal. |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke VirusTotal. Dipilih secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Workdesk Anda dan Melakukan tindakan manual.
Tambahkan Komentar Ke Entity
Gunakan tindakan Tambahkan Komentar ke Entitas untuk menambahkan komentar ke entitas di VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
File HashHostnameIP AddressURL
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Input tindakan
Tindakan Add Comment To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Comment |
Wajib. Komentar yang akan ditambahkan ke entitas. |
Output tindakan
Tindakan Add Comment To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Komentar ke Entitas:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Comment To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menambahkan Suara ke Entity
Gunakan tindakan Tambahkan Suara ke Entitas untuk menambahkan suara ke entitas di VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
File HashHostnameIP AddressURL
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Input tindakan
Tindakan Add Vote To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Vote |
Wajib. Suara untuk ditambahkan ke entitas. Kemungkinan nilainya adalah sebagai berikut:
|
Output tindakan
Tindakan Add Vote To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Suara ke Entitas:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Suara ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Download File
Gunakan tindakan Download File untuk mendownload file dari VirusTotal.
Untuk menjalankan tindakan Download File, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini dijalankan pada entity Hash Google SecOps.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Input tindakan
Tindakan Download File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Download Folder Path |
Wajib. Jalur ke folder untuk menyimpan file yang didownload. |
Overwrite |
Opsional. Jika dipilih, tindakan ini akan menimpa file yang ada dengan file baru jika nama filenya identik. Dipilih secara default. |
Output tindakan
Tindakan Download File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Pesan output
Tindakan Download File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Download File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hash yang Diperkaya
Gunakan tindakan Enrich Hash untuk memperkaya hash dengan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity Hash Google SecOps.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Input tindakan
Tindakan Enrich Hash memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus mengklasifikasikan suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi
|
Engine Percentage Threshold |
Opsional. Persentase minimum mesin yang menandai entity sebagai berbahaya atau mencurigakan agar entity dianggap mencurigakan. Jika Anda mengonfigurasi
Nilai yang valid untuk parameter ini adalah dari |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Jika Anda tidak menetapkan nilai, tindakan akan menggunakan semua mesin yang tersedia. Penghitungan nilai minimum tidak menyertakan mesin telusur yang tidak memberikan informasi tentang entitas. |
Resubmit Hash |
Opsional. Jika dipilih, tindakan akan mengirim ulang hash untuk dianalisis, bukan menggunakan hasil yang ada. Tidak dipilih secara default. |
Resubmit After (Days) |
Opsional. Jumlah hari untuk mengirim ulang hash setelah analisis terbaru. Parameter ini hanya berlaku jika Anda memilih parameter Nilai defaultnya adalah |
Retrieve Comments |
Opsional. Jika dipilih, tindakan akan mengambil komentar yang terkait dengan hash. Dipilih secara default. |
Retrieve Sigma Analysis |
Opsional. Jika dipilih, tindakan akan mengambil hasil analisis Sigma untuk hash tersebut. Dipilih secara default. |
Sandbox |
Opsional. Daftar lingkungan sandbox yang dipisahkan koma untuk digunakan dalam analisis perilaku. Jika Anda tidak menetapkan nilai, tindakan akan menggunakan nilai default. Nilai defaultnya adalah |
Retrieve Sandbox Analysis |
Opsional. Jika dipilih, tindakan ini akan mengambil hasil analisis sandbox untuk hash dan membuat bagian terpisah dalam output JSON untuk setiap sandbox yang ditentukan. Dipilih secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang hash yang dianalisis. Dipilih secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk hash yang dianggap mencurigakan berdasarkan parameter nilai minimum. Parameter ini hanya
berlaku jika Anda memilih parameter Tidak dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan diambil untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil widget tambahan yang terkait dengan hash. Dipilih secara default. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan akan mengambil taktik dan teknik MITRE ATT&CK yang terkait dengan hash. Tidak dipilih secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan minimum untuk teknik MITRE ATT&CK yang akan disertakan dalam
hasil. Tindakan ini memperlakukan tingkat keparahan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Output tindakan
Tindakan Enrich Hash memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Enrich Hash dapat memberikan link berikut untuk setiap entitas yang di-enrich:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich Hash dapat memberikan tabel berikut untuk setiap entitas yang di-enrich:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Enrich Hash dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tindakan Perkaya Hash dapat memberikan tabel berikut untuk setiap entitas yang memiliki hasil analisis Sigma:
Nama tabel: Analisis Sigma: ENTITY_ID
Kolom tabel:
- ID
- Keparahan
- Sumber
- Judul
- Deskripsi
- Mencocokkan Konteks
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Enrich Hash:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia dalam hasil JSON. |
VT3_magic |
Berlaku jika tersedia dalam hasil JSON. |
VT3_md5 |
Berlaku jika tersedia dalam hasil JSON. |
VT3_sha1 |
Berlaku jika tersedia dalam hasil JSON. |
VT3_sha256 |
Berlaku jika tersedia dalam hasil JSON. |
VT3_ssdeep |
Berlaku jika tersedia dalam hasil JSON. |
VT3_tlsh |
Berlaku jika tersedia dalam hasil JSON. |
VT3_vhash |
Berlaku jika tersedia dalam hasil JSON. |
VT3_meaningful_name |
Berlaku jika tersedia dalam hasil JSON. |
VT3_magic |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_reputation |
Berlaku jika tersedia dalam hasil JSON. |
VT3_tags |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_report_link |
Berlaku jika tersedia dalam hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Pesan output
Tindakan Enrich Hash dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich Hash:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya IOC
Gunakan tindakan Perkaya IOC untuk memperkaya indikator kompromi (IoC) menggunakan informasi dari VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Enrich IOC memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOC Type |
Opsional. Jenis IOC yang akan diperkaya. Nilai defaultnya adalah
Kemungkinan nilainya adalah sebagai berikut:
|
IOCs |
Wajib. Daftar IOC yang dipisahkan koma untuk diperkaya. |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil widget untuk IOC. Dipilih secara default. |
Output tindakan
Tindakan Enrich IOC memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya IOC dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich IOC dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: IOC_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Memperkaya IP
Gunakan tindakan Perkaya IP untuk memperkaya alamat IP menggunakan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity IP Address Google SecOps.
Input tindakan
Tindakan Perkaya IP memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus mengklasifikasikan suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi
|
Engine Percentage Threshold |
Opsional. Persentase minimum mesin telusur yang harus mengklasifikasikan entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi parameter Nilai yang valid untuk parameter ini adalah dari |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Jika Anda tidak menetapkan nilai, tindakan akan menggunakan semua mesin yang tersedia. Penghitungan nilai minimum tidak menyertakan mesin telusur yang tidak memberikan informasi tentang entitas. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan akan mengambil komentar yang terkait dengan hash. Dipilih secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang hash yang dianalisis. Dipilih secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk hash yang dianggap mencurigakan berdasarkan parameter nilai minimum. Parameter ini hanya
berlaku jika Anda memilih parameter Tidak dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan diambil untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil widget tambahan yang terkait dengan hash. Dipilih secara default. |
Output tindakan
Tindakan Enrich IP memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya IP dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich IP dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Enrich IP dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Enrich IP:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia dalam hasil JSON. |
VT3_owner |
Berlaku jika tersedia dalam hasil JSON. |
VT3_asn |
Berlaku jika tersedia dalam hasil JSON. |
VT3_continent |
Berlaku jika tersedia dalam hasil JSON. |
VT3_country |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_certificate_valid_not_after |
Berlaku jika tersedia dalam hasil JSON. |
VT3_certificate_valid_not_before |
Berlaku jika tersedia dalam hasil JSON. |
VT3_reputation |
Berlaku jika tersedia dalam hasil JSON. |
VT3_tags |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_report_link |
Berlaku jika tersedia dalam hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Enrich IP dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich IP:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
URL Pengayaan
Gunakan tindakan Perkaya URL untuk memperkaya URL menggunakan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity URL Google SecOps.
Input tindakan
Tindakan Perkaya URL memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus mengklasifikasikan URL sebagai berbahaya atau mencurigakan agar URL tersebut dianggap mencurigakan. Jika Anda mengonfigurasi
|
Engine Percentage Threshold |
Opsional. Persentase minimum mesin telusur yang harus mengklasifikasikan URL sebagai berbahaya atau mencurigakan agar URL tersebut dianggap mencurigakan. Jika Anda
mengonfigurasi parameter Nilai yang valid untuk parameter ini adalah dari |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. |
Resubmit URL |
Opsional. Jika dipilih, tindakan akan mengirim ulang URL untuk dianalisis, bukan menggunakan hasil yang ada. Tidak dipilih secara default. |
Resubmit After (Days) |
Opsional. Jumlah hari untuk mengirim ulang URL setelah analisis terbaru. Parameter ini hanya berlaku jika Anda memilih parameter Nilai defaultnya adalah |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan URL. Dipilih secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight yang berisi informasi tentang URL yang dianalisis. Dipilih secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk URL yang dianggap mencurigakan berdasarkan parameter nilai minimum. Parameter ini hanya
berlaku jika Anda memilih parameter Tidak dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan diambil untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil widget tambahan yang terkait dengan hash. Dipilih secara default. |
Output tindakan
Tindakan Perkaya URL memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya URL dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Perkaya URL dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Perkaya URL dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Perkaya URL:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia dalam hasil JSON. |
VT3_title |
Berlaku jika tersedia dalam hasil JSON. |
VT3_last_http_response_code |
Berlaku jika tersedia dalam hasil JSON. |
VT3_last_http_response_content_length |
Berlaku jika tersedia dalam hasil JSON. |
VT3_threat_names |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_reputation |
Berlaku jika tersedia dalam hasil JSON. |
VT3_tags |
Berlaku jika tersedia dalam hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia dalam hasil JSON. |
VT3_report_link |
Berlaku jika tersedia dalam hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Perkaya URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Perkaya URL dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya URL:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Domain
Gunakan tindakan Dapatkan Detail Domain untuk mengambil informasi mendetail tentang domain menggunakan informasi dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
URLHostname
Input tindakan
Tindakan Get Domain Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus mengklasifikasikan domain sebagai berbahaya atau mencurigakan agar domain tersebut dianggap mencurigakan. |
Engine Percentage Threshold |
Opsional. Persentase minimum mesin telusur yang harus mengklasifikasikan domain sebagai berbahaya atau mencurigakan agar domain tersebut dianggap mencurigakan. |
Engine Whitelist |
Opsional. Daftar nama mesin telusur yang dipisahkan koma untuk dipertimbangkan saat mengevaluasi risiko domain. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan domain dari VirusTotal. Dipilih secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan membuat insight dengan informasi tentang domain. Dipilih secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk entitas yang dianggap mencurigakan berdasarkan parameter nilai minimum. Tidak dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan diambil untuk domain dalam setiap jalannya tindakan. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Fetch Widget |
Opsional. Jika dipilih, tindakan ini akan mengambil dan menampilkan widget VirusTotal untuk domain. Dipilih secara default. |
Output tindakan
Tindakan Get Domain Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Dapatkan Detail Domain dapat memberikan link berikut untuk setiap entitas yang di-enrich:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Dapatkan Detail Domain dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Dapatkan Detail Domain dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Get Domain Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Domain Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Detail Grafik
Gunakan tindakan Dapatkan Detail Grafik untuk mendapatkan informasi mendetail tentang grafik di VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Graph Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Graph ID |
Wajib. Daftar ID grafik yang dipisahkan koma untuk mengambil detailnya. |
Max Links To Return |
Opsional. Jumlah maksimum link yang akan ditampilkan untuk setiap grafik. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Graph Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Tindakan Dapatkan Detail Grafik dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: Graph ENTITY_ID Links
Kolom tabel:
- Sumber
- Target
- Jenis Koneksi
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Pesan output
Tindakan Get Graph Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Grafik:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Domain Terkait
Gunakan tindakan Dapatkan Domain Terkait untuk mendapatkan domain yang terkait dengan entitas yang diberikan dari VirusTotal.
Untuk menjalankan tindakan Get Related Domains, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
HashHostnameIP AddressURL
Input tindakan
Tindakan Get Related Domains memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Urutan untuk menampilkan hasil JSON. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda memilih Nilai defaultnya adalah |
Max Domains To Return |
Opsional. Jumlah domain yang akan ditampilkan. Jika Anda memilih Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related Domains memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related Domains:
{
"domain": ["example.com"]
}
Pesan output
Tindakan Get Related Domains dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related Domains:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan Hash Terkait
Gunakan tindakan Get Related Hashes untuk mendapatkan hash yang terkait dengan entitas yang diberikan dari VirusTotal.
Untuk menjalankan tindakan Get Related Hashes, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
HashHostnameIP AddressURL
Input tindakan
Tindakan Get Related Hashes memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Urutan untuk menampilkan hasil JSON. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda memilih Nilai defaultnya adalah |
Max Hashes To Return |
Opsional. Jumlah hash file yang akan ditampilkan. Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related Hashes memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Pesan output
Tindakan Get Related Hashes dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related Hashes:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan IP Terkait
Gunakan tindakan Get Related IPs untuk mendapatkan alamat IP yang terkait dengan entitas yang diberikan dari VirusTotal.
Untuk menjalankan tindakan Get Related IPs, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
HashHostnameIP AddressURL
Input tindakan
Tindakan Get Related IPs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Urutan untuk menampilkan hasil JSON. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda memilih Nilai defaultnya adalah |
Max IPs To Return |
Opsional. Jumlah alamat IP yang akan ditampilkan. Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Dapatkan IP Terkait memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Pesan output
Tindakan Get Related IPs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related IPs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Mendapatkan URL Terkait
Gunakan tindakan Dapatkan URL Terkait untuk mendapatkan URL yang terkait dengan entitas yang diberikan dari VirusTotal.
Untuk menjalankan tindakan Dapatkan URL Terkait, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
HashjsHostnameIP AddressURL
Input tindakan
Tindakan Get Related URLs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Urutan untuk menampilkan hasil JSON. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda memilih Nilai defaultnya adalah |
Max URLs To Return |
Opsional. Jumlah URL yang akan ditampilkan. Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Dapatkan URL Terkait memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Dapatkan URL Terkait:
{
"urls": ["http://example.com"]
}
Pesan output
Tindakan Dapatkan URL Terkait dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan URL Terkait:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Grafik Entity Penelusuran
Gunakan tindakan Search Entity Graphs untuk menelusuri grafik yang didasarkan pada entitas di VirusTotal.
Tindakan ini hanya mendukung hash MD5, SHA-1, dan SHA-256.
Tindakan ini berjalan di entity Google SecOps berikut:
HashIP AddressThreat ActorURLUser
Input tindakan
Tindakan Search Entity Graphs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Sort Field |
Opsional. Nilai kolom untuk mengurutkan grafik VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Output tindakan
Tindakan Search Entity Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Pesan output
Tindakan Search Entity Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Grafik Penelusuran
Gunakan tindakan Search Graphs untuk menelusuri grafik berdasarkan filter kustom di VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Filter kueri untuk grafik. Untuk mengetahui informasi selengkapnya tentang kueri, lihat Cara membuat kueri dan Pengubah terkait grafik. |
Sort Field |
Opsional. Nilai kolom untuk mengurutkan grafik VirusTotal. Nilai defaultnya adalah Kemungkinan nilainya adalah sebagai berikut:
|
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Cara membuat kueri
Untuk mempertajam hasil penelusuran dari grafik, buat kueri yang berisi pengubah terkait grafik. Untuk meningkatkan penelusuran, Anda dapat menggabungkan
pengubah dengan operator AND, OR, dan NOT.
Kolom tanggal dan numerik mendukung sufiks plus (+) atau minus (-). Sufiks plus
mencocokkan nilai yang lebih besar dari nilai yang diberikan. Sufiks minus cocok dengan
nilai yang kurang dari nilai yang diberikan. Tanpa akhiran, kueri akan menampilkan kecocokan
persis.
Untuk menentukan rentang, Anda dapat menggunakan pengubah yang sama beberapa kali dalam kueri. Misalnya, untuk menelusuri grafik yang dibuat antara 15-11-2018 dan 20-11-2018, gunakan kueri berikut:
creation_date:2018-11-15+ creation_date:2018-11-20-
Untuk tanggal atau bulan yang diawali dengan 0, hapus karakter 0 dalam kueri.
Misalnya, format tanggal 2018-11-01 sebagai 2018-11-1.
Pengubah terkait grafik
Tabel berikut mencantumkan pengubah yang dapat Anda gunakan untuk membuat kueri penelusuran:
| Pengubah | Deskripsi | Contoh |
|---|---|---|
Id |
Memfilter menurut ID grafik. | id:g675a2fd4c8834e288af |
Name |
Memfilter menurut nama grafik. | name:Example-name |
Owner |
Memfilter menurut grafik yang dimiliki oleh pengguna. | owner:example_user |
Group |
Memfilter menurut grafik yang dimiliki oleh grup. | group:example |
Visible_to_user |
Memfilter menurut grafik yang terlihat oleh pengguna. | visible_to_user:example_user |
Visible_to_group |
Memfilter menurut grafik yang terlihat oleh grup. | visible_to_group:example |
Private |
Memfilter menurut grafik pribadi. | private:true, private:false |
Creation_date |
Memfilter berdasarkan tanggal pembuatan grafik. | creation_date:2018-11-15 |
last_modified_date |
Memfilter menurut tanggal modifikasi grafik terbaru. | last_modified_date:2018-11-20 |
Total_nodes |
Memfilter menurut grafik yang berisi sejumlah node tertentu. | total_nodes:100 |
Comments_count |
Memfilter berdasarkan jumlah komentar dalam grafik. | comments_count:10+ |
Views_count |
Memfilter berdasarkan jumlah tampilan grafik. | views_count:1000+ |
Label |
Memfilter menurut grafik yang berisi node dengan label tertentu. | label:Kill switch |
File |
Memfilter menurut grafik yang berisi file tertentu. | file:131f95c51cc819465fa17 |
Domain |
Memfilter menurut grafik yang berisi domain tertentu. | domain:example.com |
Ip_address |
Memfilter berdasarkan grafik yang berisi alamat IP tertentu. | ip_address:203.0.113.1 |
Url |
Memfilter berdasarkan grafik yang berisi URL tertentu. | url:https://example.com/example/ |
Actor |
Memfilter menurut grafik yang berisi aktor tertentu. | actor:example actor |
Victim |
Memfilter menurut grafik yang berisi korban tertentu. | victim:example_user |
Email |
Memfilter menurut grafik yang berisi alamat email tertentu. | email:user@example.com |
Department |
Memfilter menurut grafik yang berisi departemen tertentu. | department:engineers |
Output tindakan
Tindakan Search Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Pesan output
Tindakan Search Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search Graphs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Menelusuri IOC
Gunakan tindakan Search IOCs untuk menelusuri IOC di set data VirusTotal.
Untuk menjalankan tindakan Search IOCs, VirusTotal Enterprise (VTE) diperlukan.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Kueri untuk menelusuri IOC. Nilai defaultnya adalah Untuk mengonfigurasi kueri, ikuti sintaksis kueri yang berlaku untuk antarmuka pengguna VirusTotal Intelligence. |
Create Entities |
Opsional. Jika dipilih, tindakan ini akan membuat entitas untuk IOC yang ditampilkan. Tindakan ini tidak memperkaya entity. Tidak dipilih secara default. |
Order By |
Wajib. Kolom urutan untuk menampilkan hasil. Kemungkinan nilainya adalah sebagai berikut:
Jenis entitas dapat memiliki kolom urutan yang berbeda. Untuk mengetahui informasi selengkapnya tentang cara menelusuri file di VirusTotal, lihat Penelusuran korpus lanjutan. Nilai defaultnya adalah |
Sort Order |
Opsional. Urutan untuk mengurutkan hasil. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda menetapkan nilai Nilai
defaultnya adalah |
Max IOCs To Return |
Opsional. Jumlah IOC yang akan ditampilkan. Nilai maksimumnya adalah
Nilai defaultnya adalah |
Output tindakan
Tindakan Search IOCs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Pesan output
Tindakan Search IOCs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search IOCs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Kirim File
Gunakan tindakan Submit File untuk mengirimkan file dan menampilkan hasil dari VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Kirim File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File Paths |
Wajib. Daftar jalur absolut untuk file yang akan dikirimkan, dipisahkan dengan koma. Jika Anda mengonfigurasi parameter |
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus mengklasifikasikan file sebagai berbahaya atau mencurigakan agar file tersebut dianggap mencurigakan. Jika Anda mengonfigurasi
|
Engine Percentage Threshold |
Opsional. Persentase minimum mesin yang harus mengklasifikasikan file sebagai berbahaya atau mencurigakan agar file tersebut dianggap mencurigakan. |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk dipertimbangkan saat mengevaluasi
risiko, seperti Jika Anda tidak menetapkan nilai, tindakan akan menggunakan semua mesin yang tersedia. Penghitungan nilai minimum tidak menyertakan mesin telusur yang tidak memberikan informasi tentang entitas. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan file dari VirusTotal. Dipilih secara default. Jika pengiriman pribadi diaktifkan, komentar tidak akan diambil. |
Retrieve Sigma Analysis |
Opsional. Jika dipilih, tindakan akan mengambil hasil analisis Sigma untuk file. Dipilih secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang akan diambil untuk setiap eksekusi tindakan. Nilai defaultnya adalah |
Linux Server Address |
Opsional. Alamat IP atau nama host server Linux jarak jauh tempat file berada. |
Linux Username |
Opsional. Nama pengguna untuk melakukan autentikasi ke server Linux jarak jauh. |
Linux Password |
Opsional. Sandi untuk mengautentikasi ke server Linux jarak jauh. |
Private Submission |
Opsional. Jika dipilih, tindakan ini akan mengirimkan file secara pribadi. Untuk mengirimkan file secara pribadi, diperlukan akses VirusTotal Premium. Tidak dipilih secara default. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan akan mengambil taktik dan teknik MITRE ATT&CK yang terkait dengan hash. Tidak dipilih secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan minimum untuk teknik MITRE ATT&CK yang akan disertakan dalam
hasil. Tindakan ini memperlakukan tingkat keparahan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Retrieve AI Summary |
Opsional. Parameter ini bersifat eksperimental. Jika dipilih, tindakan ini akan mengambil ringkasan yang dibuat AI untuk file. Opsi ini hanya tersedia untuk kiriman pribadi. Tidak dipilih secara default. |
Output tindakan
Tindakan Kirim File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Kirim File dapat memberikan link berikut untuk setiap entitas yang dipertkaya:
Nama: Tautan Laporan: PATH
Nilai: URL
Tabel repositori kasus
Tindakan Kirim File dapat memberikan tabel berikut untuk setiap file yang dikirim:
Nama tabel: Hasil: PATH
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Kirim File dapat memberikan tabel berikut untuk setiap file yang dikirimkan dan memiliki komentar:
Nama tabel: Komentar: PATH
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tindakan Kirim File dapat memberikan tabel berikut untuk setiap entitas yang memiliki hasil analisis Sigma:
Nama tabel: Analisis Sigma: ENTITY_ID
Kolom tabel:
- ID
- Keparahan
- Sumber
- Judul
- Deskripsi
- Mencocokkan Konteks
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Kirim File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Kirim File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Kirim File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
True atau False |
Konektor
Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
VirusTotal - Livehunt Connector
Gunakan VirusTotal - Livehunt Connector untuk menarik informasi tentang notifikasi VirusTotal Livehunt dan file terkait.
Konektor ini memerlukan token API Premium VirusTotal. Daftar dinamis berfungsi
dengan parameter rule_name.
Input konektor
VirusTotal - Livehunt Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nilai
defaultnya adalah Nama produk
terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk
konektor, nilai default |
Event Field Name |
Wajib. Nama kolom tempat nama peristiwa (subtipe) disimpan. Nilai
defaultnya adalah |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, konektor akan menggunakan nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan
nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
PythonProcessTimeout |
Wajib. Batas waktu dalam detik untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
API Key |
Wajib. Kunci API VirusTotal. |
Verify SSL |
Wajib. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke VirusTotal. Dipilih secara default. |
Engine Whitelist |
Opsional. Daftar nama mesin telusur yang dipisahkan koma untuk dipertimbangkan saat mengevaluasi nilai parameter
Jika Anda tidak menetapkan nilai, tindakan akan menggunakan semua mesin yang tersedia. |
Engine Percentage Threshold To Fetch |
Wajib. Persentase minimum mesin yang menandai file sebagai berbahaya atau mencurigakan agar konektor dapat memproses file tersebut. Nilai yang valid adalah
dari Nilai defaultnya adalah |
Max Hours Backwards |
Opsional. Jumlah jam sebelum iterasi konektor pertama untuk mengambil insiden. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Notifications To Fetch |
Opsional. Jumlah maksimum notifikasi yang akan diproses di setiap eksekusi konektor. Nilai defaultnya adalah |
Use dynamic list as a blacklist |
Wajib. Jika dipilih, daftar dinamis akan digunakan sebagai daftar blokir. Tidak dipilih secara default. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna untuk autentikasi server proxy. |
Proxy Password |
Opsional. Sandi untuk autentikasi server proxy. |
Aturan konektor
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.