Integra VirusTotal v3 con Google SecOps
Versione integrazione: 37.0
Questo documento spiega come integrare VirusTotal v3 con Google Security Operations (Google SecOps).
Casi d'uso
L'integrazione di VirusTotal v3 utilizza le funzionalità di Google SecOps per supportare i seguenti casi d'uso:
Analisi dei file: invia un hash o un file a VirusTotal per l'analisi e recupera i risultati della scansione da più motori antivirus per determinare se l'elemento inviato è dannoso.
Analisi URL: esegui un URL nel database VirusTotal per identificare siti web o pagine di phishing potenzialmente dannosi.
Analisi dell'indirizzo IP: esamina un indirizzo IP e identifica la sua reputazione e qualsiasi attività dannosa associata.
Analisi del dominio: analizza un nome di dominio e identifica la sua reputazione e qualsiasi attività dannosa associata, come phishing o distribuzione di malware.
Retrohunting: esegui la scansione dei dati storici di VirusTotal per cercare file, URL, IP o domini precedentemente contrassegnati come dannosi.
Arricchimento automatico: arricchisci automaticamente i dati sugli incidenti con l'intelligence sulle minacce.
Indagine sul phishing: analizza email e allegati sospetti inviandoli a VirusTotal per l'analisi.
Analisi del malware: carica campioni di malware su VirusTotal per l'analisi dinamica e statica e ottieni informazioni sul comportamento e sul potenziale impatto dei campioni.
Prima di iniziare
Prima di configurare l'integrazione nella piattaforma Google SecOps, verifica di disporre di quanto segue:
API VirusTotal Premium:per funzionare correttamente, questa integrazione richiede un abbonamento all'API VirusTotal Premium.
Per saperne di più sulle differenze tra i livelli dell'API, consulta la pagina API pubbliche e API Premium.
Chiave API:devi configurare una chiave API VirusTotal prima di configurare l'istanza di integrazione in Google SecOps.
Configurare la chiave API VirusTotal
Prima di configurare l'integrazione di VirusTotal v3 in Google SecOps, devi ottenere e copiare la chiave API:
Accedi al portale VirusTotal.
Vai alle impostazioni dell'account e, sotto il tuo nome utente o profilo, fai clic su Chiave API.
Copia la chiave API generata. Utilizza questa chiave per compilare il
API Keyparametro di integrazione.
Parametri di integrazione
L'integrazione di VirusTotal v3 richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API Key |
Obbligatorio. La chiave API di VirusTotal. |
Verify SSL |
Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server VirusTotal v3. Abilitato per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per ulteriori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania e Eseguire un'azione manuale.
Aggiungi commento all'entità
Utilizza l'azione Aggiungi commento all'entità per aggiungere un commento alle entità in VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Aggiungi commento all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Comment |
Obbligatorio. Il commento da aggiungere alle entità. |
Output dell'azione
L'azione Aggiungi commento all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
I seguenti esempi mostrano gli output dei risultati JSON ricevuti quando si utilizza l'azione Aggiungi commento all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi commento all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Aggiungi commento all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Aggiungi voto all'entità
Utilizza l'azione Aggiungi voto all'entità per aggiungere un voto alle entità in VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Aggiungi voto all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Vote |
Obbligatorio. Il voto da assegnare alla reputazione dell'entità. I valori possibili sono:
|
Output dell'azione
L'azione Aggiungi voto all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi voto all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi voto all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Scarica file
Utilizza l'azione Scarica file per scaricare un file da VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps File Hash.
Input azione
L'azione Scarica file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Download Folder Path |
Obbligatorio. Il percorso della cartella in cui l'azione salva i file scaricati. |
Overwrite |
Facoltativo. Se selezionata, l'azione sostituisce qualsiasi file esistente con lo stesso nome del nuovo file scaricato. Abilitato per impostazione predefinita. |
Output dell'azione
L'azione Scarica file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica file:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messaggi di output
L'azione Scarica file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Download File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Arricchisci hash
Utilizza l'azione Arricchisci hash per arricchire gli hash con informazioni provenienti da VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps File Hash.
Input azione
L'azione Arricchisci hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono segnalare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri |
Engine Percentage Threshold |
Facoltativo. La percentuale minima (da Se configuri Se configuri sia |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Resubmit Hash |
Facoltativo. Se selezionata, l'azione invia nuovamente l'hash per l'analisi anziché utilizzare i risultati esistenti. Disabilitato per impostazione predefinita. |
Resubmit After (Days) |
Facoltativo. Il numero minimo di giorni che devono trascorrere dall'ultima analisi prima che l'hash venga inviato di nuovo. Questo parametro si applica solo se selezioni il parametro Il valore predefinito è |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'hash da VirusTotal. Abilitato per impostazione predefinita. |
Retrieve Sigma Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi Sigma per l'hash. Questa opzione è selezionata per impostazione predefinita. |
Sandbox |
Facoltativo. Un elenco separato da virgole di ambienti sandbox da utilizzare per l'analisi del comportamento. Se non imposti un valore, l'azione utilizza il valore predefinito. Il valore predefinito è |
Retrieve Sandbox Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi della sandbox per l'hash e crea una sezione separata nell'output JSON per ogni sandbox specificata. Questa opzione è selezionata per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione genera un approfondimento sulla sicurezza contenente le informazioni di analisi per l'hash. Abilitato per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli hash identificati come sospetti in base ai parametri di soglia configurati. Questo parametro viene applicato solo se Disabilitato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti recuperati dall'azione durante ogni esecuzione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. I valori possibili sono:
Il valore predefinito è |
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e include il widget di riepilogo visivo relativo all'hash nell'output della bacheca casi. Abilitato per impostazione predefinita. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione recupera le tecniche e le tattiche MITRE ATT&CK correlate all'hash. Disabilitato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. Il livello di gravità minimo per una tecnica MITRE ATT&CK da includere nei
risultati. L'azione considera la gravità I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Arricchisci hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Arricchisci hash può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità che ha i risultati dell'analisi Sigma:
Nome tabella: Sigma Analysis: ENTITY_ID
Colonne della tabella:
- ID
- Gravità
- Origine
- Titolo
- Descrizione
- Contesto della corrispondenza
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Arricchisci hash:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_magic |
Si applica se disponibile nel risultato JSON. |
VT3_md5 |
Si applica se disponibile nel risultato JSON. |
VT3_sha1 |
Si applica se disponibile nel risultato JSON. |
VT3_sha256 |
Si applica se disponibile nel risultato JSON. |
VT3_ssdeep |
Si applica se disponibile nel risultato JSON. |
VT3_tlsh |
Si applica se disponibile nel risultato JSON. |
VT3_vhash |
Si applica se disponibile nel risultato JSON. |
VT3_meaningful_name |
Si applica se disponibile nel risultato JSON. |
VT3_magic |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Messaggi di output
L'azione Arricchisci hash può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Arricchisci IOC
Utilizza l'azione Arricchisci IOC per arricchire gli indicatori di compromissione (IOC) utilizzando le informazioni di VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Arricchisci IOC richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Type |
Facoltativo. Il tipo di indicatore di compromissione da arricchire. Il valore predefinito è
I valori possibili sono:
|
IOCs |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione da arricchire. |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. I valori possibili sono:
Il valore predefinito è |
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e include il widget di riepilogo visivo relativo all'indicatore di compromissione nell'output della bacheca casi. Abilitato per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci IOC fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Arricchisci indicatore di compromissione può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci indicatore di compromissione può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: IOC_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messaggi di output
L'azione Arricchisci IOC può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci IOC:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Arricchisci IP
Utilizza l'azione Arricchisci IP per arricchire gli indirizzi IP utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps IP Address.
Input azione
L'azione Arricchisci IP richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono segnalare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri |
Engine Percentage Threshold |
Facoltativo. La percentuale minima (da Se configuri Se configuri sia |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'indirizzo IP da VirusTotal. Abilitato per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione genera un approfondimento sulla sicurezza contenente le informazioni di analisi per l'indirizzo IP. Abilitato per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli indirizzi IP identificati come sospetti in base ai parametri di soglia configurati. Questo parametro viene applicato solo se Disabilitato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti recuperati dall'azione durante ogni esecuzione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. I valori possibili sono:
Il valore predefinito è |
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e include il widget di riepilogo visivo relativo all'indirizzo IP nell'output della bacheca casi. Abilitato per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci IP fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Arricchisci IP può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci IP può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci IP può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Tabella di arricchimento delle entità
La seguente tabella elenca i campi arricchiti utilizzando l'azione Arricchisci IP:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_owner |
Si applica se disponibile nel risultato JSON. |
VT3_asn |
Si applica se disponibile nel risultato JSON. |
VT3_continent |
Si applica se disponibile nel risultato JSON. |
VT3_country |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_certificate_valid_not_after |
Si applica se disponibile nel risultato JSON. |
VT3_certificate_valid_not_before |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Arricchisci IP può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
|
L'azione è riuscita. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci IP:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Arricchisci URL
Utilizza l'azione Arricchisci URL per arricchire un URL utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps URL.
Input azione
L'azione Arricchisci URL richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono segnalare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri |
Engine Percentage Threshold |
Facoltativo. La percentuale minima (da Se configuri Se configuri sia |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Resubmit URL |
Facoltativo. Se selezionata, l'azione invia nuovamente l'URL per l'analisi anziché utilizzare i risultati esistenti. Disabilitato per impostazione predefinita. |
Resubmit After (Days) |
Facoltativo. Il numero minimo di giorni che devono trascorrere dall'ultima analisi prima che l'hash venga inviato di nuovo. Questo parametro si applica solo se selezioni il parametro Il valore predefinito è |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'URL da VirusTotal. Abilitato per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione genera un approfondimento sulla sicurezza contenente le informazioni di analisi per l'URL. Abilitato per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli URL identificati come sospetti in base ai parametri di soglia configurati. Questo parametro viene applicato solo se Disabilitato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti recuperati dall'azione durante ogni esecuzione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. I valori possibili sono:
Il valore predefinito è |
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e include il widget di riepilogo visivo relativo all'URL nell'output della bacheca casi. Abilitato per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci URL fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Arricchisci URL può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci URL può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci URL può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Arricchisci URL:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_title |
Si applica se disponibile nel risultato JSON. |
VT3_last_http_response_code |
Si applica se disponibile nel risultato JSON. |
VT3_last_http_response_content_length |
Si applica se disponibile nel risultato JSON. |
VT3_threat_names |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Arricchisci URL può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci URL:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Recupera dettagli dominio
Utilizza l'azione Ottieni dettagli dominio per recuperare informazioni dettagliate sul dominio utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainHostnameURL
Input azione
L'azione Recupera dettagli dominio richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono segnalare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri |
Engine Percentage Threshold |
Facoltativo. La percentuale minima (da Se configuri Se configuri sia |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati al dominio da VirusTotal. Abilitato per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione genera un approfondimento sulla sicurezza contenente le informazioni di analisi per il dominio. Abilitato per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per le entità identificate come sospette in base ai parametri di soglia configurati. Questo parametro viene applicato solo se Disabilitato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti recuperati dall'azione per il dominio durante ogni esecuzione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. I valori possibili sono:
Il valore predefinito è |
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e include il widget di riepilogo visivo relativo al dominio nell'output della bacheca casi. Abilitato per impostazione predefinita. |
Output dell'azione
L'azione Recupera dettagli dominio fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Ottieni dettagli dominio può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Ottieni dettagli dominio può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Ottieni dettagli dominio può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli dominio:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Recupera dettagli dominio può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli dominio:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Recuperare i dettagli del grafico
Utilizza l'azione Ottieni dettagli grafico per ottenere informazioni dettagliate sui grafici in VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli grafico richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Graph ID |
Obbligatorio. Un elenco separato da virgole di ID grafici per cui recuperare i dettagli. |
Max Links To Return |
Facoltativo. Il numero massimo di link da restituire per ogni grafico. Il valore predefinito è |
Output dell'azione
L'azione Ottieni dettagli grafico fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni dettagli grafico può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: Graph ENTITY_ID Links
Colonne della tabella:
- Origine
- Destinazione
- Tipo di connessione
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli grafico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messaggi di output
L'azione Ottieni dettagli grafico può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli grafico:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Recupera domini correlati
Utilizza l'azione Ottieni domini correlati per ottenere i domini correlati alle entità fornite da VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Ottieni domini correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. La struttura utilizzata per aggregare e raggruppare i risultati JSON restituiti. I valori possibili sono:
Il valore predefinito è |
Max Domains To Return |
Facoltativo. Il numero massimo di domini da restituire. Se selezioni Se selezioni Il valore predefinito è |
Output dell'azione
L'azione Ottieni domini correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related Domains:
{
"domain": ["example.com"]
}
Messaggi di output
L'azione Recupera domini correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni domini correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Get Related Hashes
Utilizza l'azione Ottieni hash correlati per ottenere gli hash correlati alle entità fornite da VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Ottieni hash correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. La struttura utilizzata per aggregare e raggruppare i risultati JSON restituiti. I valori possibili sono:
Il valore predefinito è |
Max Hashes To Return |
Facoltativo. Il numero massimo di hash dei file da restituire. Se selezioni Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Recupera hash correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Messaggi di output
L'azione Ottieni hash correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni hash correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Ottieni IP correlati
Utilizza l'azione Ottieni IP correlati per ottenere gli indirizzi IP correlati alle entità fornite da VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameURL
Input azione
L'azione Recupera IP correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. La struttura utilizzata per aggregare e raggruppare i risultati JSON restituiti. I valori possibili sono:
Il valore predefinito è |
Max IPs To Return |
Facoltativo. Il numero massimo di indirizzi IP da restituire. Se selezioni
Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Recupera IP correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Messaggi di output
L'azione Recupera IP correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera IP correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Ottenere URL correlati
Utilizza l'azione Ottieni URL correlati per ottenere gli URL correlati alle entità fornite da VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressURL
Input azione
L'azione Ottieni URL correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. La struttura utilizzata per aggregare e raggruppare i risultati JSON restituiti. I valori possibili sono:
Il valore predefinito è |
Max URLs To Return |
Facoltativo. Il numero massimo di URL da restituire. Se selezioni
Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Recupera URL correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni URL correlati:
{
"urls": ["http://example.com"]
}
Messaggi di output
L'azione Recupera URL correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera URL correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Dindin
Utilizza l'azione Ping per testare la connettività a VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Grafici delle entità di ricerca
Utilizza l'azione Cerca grafici di entità per cercare grafici basati sulle entità in VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Input azione
L'azione Cerca grafici di entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Sort Field |
Facoltativo. Il campo utilizzato per ordinare e sequenziare i grafici VirusTotal restituiti. I valori possibili sono:
Il valore predefinito è |
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire. Il valore predefinito è |
Output dell'azione
L'azione Cerca grafici delle entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Cerca grafici di entità:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messaggi di output
L'azione Cerca grafici delle entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Cerca grafici
Utilizza l'azione Cerca grafici per cercare grafici in base a filtri personalizzati in VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. Il filtro della query per il grafico. Per saperne di più sulle query, vedi Come creare query e Modificatori correlati al grafico. |
Sort Field |
Facoltativo. Il campo utilizzato per ordinare e sequenziare i grafici VirusTotal restituiti. I valori possibili sono:
Il valore predefinito è |
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire. Il valore predefinito è |
Come creare query
Per perfezionare i risultati di ricerca dai grafici, crea query che contengano modificatori
correlati ai grafici. Per migliorare la ricerca, puoi combinare
i modificatori con gli operatori AND, OR e NOT.
I campi numerici e di data supportano i suffissi più (+) o meno (-). Un suffisso
più corrisponde ai valori maggiori di quello fornito. Un suffisso meno corrisponde
a valori inferiori a quello fornito. Senza un suffisso, la query restituisce corrispondenze
esatte.
Per definire gli intervalli, puoi utilizzare lo stesso modificatore più volte in una query. Ad esempio, per cercare grafici creati tra il 15/11/2018 e il 20/11/2018, utilizza la seguente query:
creation_date:2018-11-15+ creation_date:2018-11-20-
Per le date o i mesi che iniziano con 0, rimuovi il carattere 0 nella query.
Ad esempio, formatta la data 2018-11-01 come 2018-11-1.
Modificatori correlati ai grafici
La seguente tabella elenca i modificatori che puoi utilizzare per creare la query di ricerca:
| Modificatore | Descrizione | Esempio |
|---|---|---|
Id |
Filtra in base all'identificatore del grafico. | id:g675a2fd4c8834e288af |
Name |
Filtra per nome del grafico. | name:Example-name |
Owner |
Filtra in base ai grafici di proprietà dell'utente. | owner:example_user |
Group |
Filtra in base ai grafici di proprietà di un gruppo. | group:example |
Visible_to_user |
Filtra in base ai grafici visibili all'utente. | visible_to_user:example_user |
Visible_to_group |
Filtra in base ai grafici visibili al gruppo. | visible_to_group:example |
Private |
Filtra in base ai grafici privati. | private:true, private:false |
Creation_date |
Filtra in base alla data di creazione del grafico. | creation_date:2018-11-15 |
last_modified_date |
Filtra in base alla data dell'ultima modifica del grafico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra in base ai grafici che contengono un numero specifico di nodi. | total_nodes:100 |
Comments_count |
Filtra in base al numero di commenti nel grafico. | comments_count:10+ |
Views_count |
Filtra in base al numero di visualizzazioni del grafico. | views_count:1000+ |
Label |
Filtra in base ai grafici che contengono nodi con un'etichetta specifica. | label:Kill switch |
File |
Filtra in base ai grafici che contengono il file specifico. | file:131f95c51cc819465fa17 |
Domain |
Filtra in base ai grafici che contengono il dominio specifico. | domain:example.com |
Ip_address |
Filtra in base ai grafici che contengono l'indirizzo IP specifico. | ip_address:203.0.113.1 |
Url |
Filtra in base ai grafici che contengono l'URL specifico. | url:https://example.com/example/ |
Actor |
Filtra in base ai grafici che contengono l'attore specifico. | actor:example actor |
Victim |
Filtra in base ai grafici che contengono la vittima specifica. | victim:example_user |
Email |
Filtra in base ai grafici che contengono l'indirizzo email specifico. | email:user@example.com |
Department |
Filtra in base ai grafici che contengono il reparto specifico. | department:engineers |
Output dell'azione
L'azione Cerca grafici fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca grafici:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messaggi di output
L'azione Cerca grafici può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca grafici:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Cerca IOC
Utilizza l'azione Cerca indicatori di compromissione per cercare indicatori di compromissione nel set di dati VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. La stringa di query utilizzata per filtrare e cercare gli IOC nel set di dati. Per configurare la query, segui la sintassi della query applicabile all'interfaccia utente di VirusTotal Intelligence. Il valore predefinito è |
Create Entities |
Facoltativo. Se selezionata, l'azione crea entità per gli IOC restituiti. Questa azione non arricchisce le entità. Disabilitato per impostazione predefinita. |
Order By |
Obbligatorio. Il campo utilizzato per determinare i criteri di ordinamento principali per i risultati restituiti. I tipi di entità possono avere campi di ordinamento diversi. Per saperne di più su come cercare file in VirusTotal, vedi Ricerca avanzata nel corpus. I valori possibili sono:
Il valore predefinito è |
Sort Order |
Facoltativo. L'ordine di ordinamento dei risultati. I valori possibili sono:
Se selezioni Il valore predefinito è |
Max IOCs To Return |
Facoltativo. Il numero massimo di indicatori di compromissione da restituire. Il valore massimo è Il valore predefinito è |
Output dell'azione
L'azione Cerca indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca indicatori di compromissione:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Messaggi di output
L'azione Cerca indicatori di compromissione può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Invia file
Utilizza l'azione Invia file per inviare un file e restituire i risultati di VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Invia file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File Paths |
Obbligatorio. Un elenco separato da virgole dei percorsi file assoluti sul server locale o remoto da inviare. Se configuri |
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono segnalare un file come dannoso o sospetto perché sia considerato sospetto. Se configuri
|
Engine Percentage Threshold |
Facoltativo. La percentuale minima (da Se configuri Se configuri sia |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati al file da VirusTotal. I commenti non vengono recuperati quando è attivata l'opzione Abilitato per impostazione predefinita. |
Retrieve Sigma Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi Sigma per il file. Abilitato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti recuperati dall'azione durante ogni esecuzione. Il valore predefinito è |
Linux Server Address |
Facoltativo. La posizione di rete (indirizzo IP o nome host) dei file di origine sul server Linux remoto. |
Linux Username |
Facoltativo. Il nome utente di autenticazione per il server Linux remoto. |
Linux Password |
Facoltativo. La password di autenticazione per il server Linux remoto. |
Private Submission |
Facoltativo. Se selezionata, l'azione invia il file in privato. Per inviare il file in privato, è necessario l'accesso a VirusTotal Premium. Disabilitato per impostazione predefinita. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione recupera le tecniche e le tattiche MITRE ATT&CK correlate all'hash. Disabilitato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. Il livello di gravità minimo per una tecnica MITRE ATT&CK da includere nei risultati. L'azione considera I valori possibili sono:
Il valore predefinito è |
Retrieve AI Summary |
Facoltativo. Se selezionata, l'azione recupera un riepilogo del file creato con l'AI. Questa opzione è disponibile solo per gli invii privati. Questo parametro è sperimentale. Disabilitato per impostazione predefinita. |
Output dell'azione
L'azione Invia file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca casi | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca casi
L'azione Invia file può restituire i seguenti link:
Nome: Link report: PATH
Valore: URL
Tabella della bacheca casi
L'azione Invia file può fornire la seguente tabella per ogni file inviato:
Nome tabella: Risultati: PATH
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Invia file può fornire la seguente tabella per ogni file inviato che contiene commenti:
Nome tabella: Commenti: PATH
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
L'azione Invia file può fornire la seguente tabella per ogni entità che contiene i risultati dell'analisi Sigma:
Nome tabella: Sigma Analysis: ENTITY_ID
Colonne della tabella:
- ID
- Gravità
- Origine
- Titolo
- Descrizione
- Contesto della corrispondenza
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Invia file:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Invia file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Submit File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Invia file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
true o false |
Connettori
Per saperne di più su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
VirusTotal - Livehunt Connector
Utilizza VirusTotal - Livehunt Connector per estrarre informazioni sulle notifiche di VirusTotal Livehunt e sui file correlati.
Regole del connettore
Il connettore VirusTotal - Livehunt supporta i proxy.
Input del connettore
Il connettore VirusTotal - Livehunt richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API Key |
Obbligatorio. La chiave API di VirusTotal. |
Engine Percentage Threshold To Fetch |
Obbligatorio. La soglia percentuale minima dei motori di sicurezza (da Il valore predefinito è |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Il calcolo esclude i motori che non forniscono informazioni sulle entità. Se non viene fornito alcun valore, l'azione utilizza tutti i motori disponibili. |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non è presente, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito. |
Event Field Name |
Obbligatorio. Il nome del campo che determina il nome (sottotipo) dell'evento. Il valore predefinito è |
Max Hours Backwards |
Facoltativo. Il numero di ore di ricerca per recuperare gli avvisi. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo l'attivazione del connettore per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Notifications To Fetch |
Facoltativo. Il numero massimo di notifiche da elaborare in ogni esecuzione del connettore. Il valore predefinito è |
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il nome del prodotto influisce principalmente sulla mappatura. Per semplificare e migliorare la procedura di mappatura per il connettore, il valore predefinito viene risolto in un valore di riserva a cui viene fatto riferimento dal codice. Per impostazione predefinita, qualsiasi input non valido per questo parametro viene risolto in un valore di riserva. Il valore predefinito è |
Proxy Password |
Facoltativo. La password per l'autenticazione del server proxy. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente per l'autenticazione del server proxy. |
PythonProcessTimeout |
Obbligatorio. Il limite di timeout, in secondi, per il processo Python che esegue lo script corrente. Il valore predefinito è |
Use dynamic list as a blacklist |
Facoltativo. Se selezionato, il connettore utilizza l'elenco dinamico come blocklist. Disabilitato per impostazione predefinita. |
Verify SSL |
Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette al server VirusTotal. Abilitato per impostazione predefinita. |
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.