VirusTotal v3 を Google SecOps と統合する
統合バージョン: 37.0
このドキュメントでは、VirusTotal v3 を Google Security Operations(Google SecOps)と統合する方法について説明します。
ユースケース
VirusTotal v3 の統合では、Google SecOps の機能を使用して次のユースケースをサポートします。
ファイル分析: ファイル ハッシュまたはファイルを VirusTotal に送信して分析し、複数のウイルス対策エンジンからスキャン結果を取得して、送信されたアイテムが悪意のあるものかどうかを判断します。
URL 分析: URL を VirusTotal データベースと照合して、悪意のある可能性のあるウェブサイトやフィッシング ページを特定します。
IP アドレスの分析: IP アドレスを調査し、そのレピュテーションと関連する悪意のあるアクティビティを特定します。
ドメイン分析: ドメイン名を分析し、その評判と、フィッシングやマルウェアの配布などの関連する悪意のあるアクティビティを特定します。
遡及的ハンティング: VirusTotal の履歴データをスキャンして、以前に悪意のあるものとしてフラグが付けられたファイル、URL、IP、ドメインを検索します。
自動エンリッチメント: 脅威インテリジェンスを使用してインシデント データを自動的に拡充します。
フィッシング調査: 不審なメールや添付ファイルを VirusTotal に送信して分析します。
マルウェア分析: マルウェア サンプルを VirusTotal にアップロードして動的分析と静的分析を行い、サンプルの動作と潜在的な影響に関する分析情報を取得します。
始める前に
Google SecOps プラットフォームで統合を構成する前に、次のものが揃っていることを確認してください。
VirusTotal Premium API: この統合を適切に機能させるには、VirusTotal Premium API のサブスクリプションが必要です。
API 階層の違いの詳細については、パブリック API とプレミアム API をご覧ください。
API キー: Google SecOps で統合インスタンスを設定する前に、VirusTotal API キーを構成する必要があります。
VirusTotal API キーを構成する
Google SecOps で VirusTotal v3 統合を構成する前に、API キーを取得してコピーする必要があります。
VirusTotal ポータルにログインします。
アカウント設定に移動し、ユーザー名またはプロフィールの下にある [API キー] をクリックします。
生成された API キーをコピーします。このキーを使用して、
API Key統合パラメータを設定します。
統合のパラメータ
VirusTotal v3 統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Key |
必須。 VirusTotal API キー。 |
Verify SSL |
省略可。 選択すると、VirusTotal v3 サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスの構成とサポートの方法については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、 デスクから保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティにコメントを追加
Add Comment To Entity アクションを使用して、VirusTotal のエンティティにコメントを追加します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
[Add Comment To Entity] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Comment |
必須。 エンティティに追加するコメント。 |
アクションの出力
[Add Comment To Entity] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、エンティティにコメントを追加アクションを使用した場合に受信される JSON 結果の出力です。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
エンティティにコメントを追加アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Comment To Entity アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
エンティティに投票を追加する
VirusTotal のエンティティに投票を追加するには、[Add Vote To Entity] アクションを使用します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
Add Vote To Entity アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Vote |
必須。 エンティティの評判に割り当てる投票。 値は次のいずれかになります。
|
アクションの出力
[Add Vote To Entity] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、Add Vote To Entity アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
エンティティに投票を追加アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Vote To Entity アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
ファイルをダウンロード
Download File アクションを使用して、VirusTotal からファイルをダウンロードします。
このアクションは Google SecOps File Hash エンティティに対して実行されます。
アクション入力
[Download File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Download Folder Path |
必須。 アクションがダウンロードしたファイルを保存するフォルダのパス。 |
Overwrite |
省略可。 選択すると、新しいダウンロード ファイルと同じ名前の既存のファイルが置き換えられます。 デフォルトで有効になっています。 |
アクションの出力
[Download File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Download File] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
出力メッセージ
[Download File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Download File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
ハッシュを拡充する
ハッシュの拡充アクションを使用して、VirusTotal の情報でハッシュを拡充します。
このアクションは Google SecOps File Hash エンティティに対して実行されます。
アクション入力
ハッシュを拡充アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要があるエンジンの最小割合(
|
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Resubmit Hash |
省略可。 選択すると、アクションは既存の結果を使用するのではなく、分析のためにハッシュを再送信します。 デフォルトでは無効にされています。 |
Resubmit After (Days) |
省略可。 ハッシュを再送信する前に、最後の分析から経過する必要がある最小日数。 このパラメータは、 デフォルト値は |
Retrieve Comments |
省略可。 選択すると、アクションはハッシュに関連付けられたコメントを VirusTotal から取得します。 デフォルトで有効になっています。 |
Retrieve Sigma Analysis |
省略可。 選択すると、アクションはハッシュの Sigma 分析結果を取得します。 デフォルトで選択されています。 |
Sandbox |
省略可。 動作分析に使用するサンドボックス環境のカンマ区切りのリスト。 値を設定しない場合、アクションはデフォルト値を使用します。 デフォルト値は |
Retrieve Sandbox Analysis |
省略可。 選択すると、アクションはハッシュのサンドボックス分析結果を取得し、指定されたサンドボックスごとに JSON 出力に別のセクションを作成します。 デフォルトで選択されています。 |
Create Insight |
省略可。 選択すると、アクションによってハッシュの分析情報を含むセキュリティ分析情報が生成されます。 デフォルトで有効になっています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、構成されたしきい値パラメータに基づいて不審と判断されたハッシュについてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは無効にされています。 |
Max Comments To Return |
省略可。 アクションが各実行で取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 値は次のいずれかになります。
デフォルト値は |
Fetch Widget |
省略可。 選択すると、アクションはハッシュに関連するビジュアル サマリー ウィジェットを取得し、ケースウォール出力に含めます。 デフォルトで有効になっています。 |
Fetch MITRE Details |
省略可。 選択すると、アクションはハッシュに関連する MITRE ATT&CK の手法と戦術を取得します。 デフォルトでは無効にされています。 |
Lowest MITRE Technique Severity |
省略可。 結果に含める MITRE ATT&CK 手法の最小重大度レベル。このアクションは、重大度 値は次のいずれかになります。
デフォルト値は |
アクションの出力
[ハッシュを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
ハッシュの拡充アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
ハッシュの拡充アクションでは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
ハッシュを拡充アクションは、コメントのあるエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
[ハッシュを拡充] アクションでは、Sigma 分析結果を含むエンティティごとに次のテーブルを提供できます。
テーブル名: Sigma 分析: ENTITY_ID
テーブルの列:
- ID
- 重大度
- ソース
- タイトル
- 説明
- 試合のコンテキスト
エンティティ拡充テーブル
次の表に、ハッシュを拡充アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_magic |
JSON の結果で利用可能な場合に適用されます。 |
VT3_md5 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_sha1 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_sha256 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_ssdeep |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tlsh |
JSON の結果で利用可能な場合に適用されます。 |
VT3_vhash |
JSON の結果で利用可能な場合に適用されます。 |
VT3_meaningful_name |
JSON の結果で利用可能な場合に適用されます。 |
VT3_magic |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、[ハッシュを拡充] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
出力メッセージ
ハッシュの拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ハッシュの拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
IOC を拡充する
IOC を拡充アクションを使用して、VirusTotal からの情報を使用してセキュリティ侵害インジケーター(IoC)を拡充します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[IOC を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
IOC Type |
省略可。 拡充する IoC のタイプ。 デフォルト値は 値は次のいずれかになります。
|
IOCs |
必須。 拡充する IoC のカンマ区切りのリスト。 |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 値は次のいずれかになります。
デフォルト値は |
Fetch Widget |
省略可。 選択すると、アクションは IoC に関連するビジュアル サマリー ウィジェットを取得し、ケースウォール出力に含めます。 デフォルトで有効になっています。 |
アクションの出力
[IOC を拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[IOC を拡充] アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[IOC を拡充] アクションでは、拡充されたエンティティごとに次の表を表示できます。
テーブル名: IOC_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
JSON の結果
次の例は、[IOC を拡充] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
出力メッセージ
IOC を拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、IOC の拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
IP を拡充する
[IP を拡充] アクションを使用して、VirusTotal の情報を使用して IP アドレスを拡充します。
このアクションは Google SecOps IP Address エンティティに対して実行されます。
アクション入力
[IP を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要があるエンジンの最小割合(
|
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Retrieve Comments |
省略可。 選択すると、このアクションは VirusTotal から IP アドレスに関連付けられたコメントを取得します。 デフォルトで有効になっています。 |
Create Insight |
省略可。 選択すると、アクションによって IP アドレスの分析情報を含むセキュリティ分析情報が生成されます。 デフォルトで有効になっています。 |
Only Suspicious Entity Insight |
省略可。 オンにすると、構成されたしきい値パラメータに基づいて不審と判断された IP アドレスについてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは無効にされています。 |
Max Comments To Return |
省略可。 アクションが各実行で取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 値は次のいずれかになります。
デフォルト値は |
Fetch Widget |
省略可。 選択すると、アクションは IP アドレスに関連するビジュアル サマリー ウィジェットを取得し、ケースウォール出力に含めます。 デフォルトで有効になっています。 |
アクションの出力
[IP を拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
IP の拡充アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[IP を拡充] アクションでは、拡充されたエンティティごとに次の表が提供されます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
IP を拡充アクションでは、コメントのあるエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
エンティティ拡充テーブル
次の表に、[IP を拡充] アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_owner |
JSON の結果で利用可能な場合に適用されます。 |
VT3_asn |
JSON の結果で利用可能な場合に適用されます。 |
VT3_continent |
JSON の結果で利用可能な場合に適用されます。 |
VT3_country |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_certificate_valid_not_after |
JSON の結果で利用可能な場合に適用されます。 |
VT3_certificate_valid_not_before |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、[IP を拡充] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
IP の拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
|
アクションが成功しました。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、IP の拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
URL を拡充する
URL を拡充アクションを使用して、VirusTotal の情報を使用して URL を拡充します。
このアクションは Google SecOps URL エンティティに対して実行されます。
アクション入力
[URL を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要があるエンジンの最小割合(
|
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Resubmit URL |
省略可。 選択すると、既存の結果を使用するのではなく、分析のために URL が再送信されます。 デフォルトでは無効にされています。 |
Resubmit After (Days) |
省略可。 ハッシュを再送信する前に、最後の分析から経過する必要がある最小日数。 このパラメータは、 デフォルト値は |
Retrieve Comments |
省略可。 選択すると、アクションは VirusTotal から URL に関連付けられたコメントを取得します。 デフォルトで有効になっています。 |
Create Insight |
省略可。 選択すると、アクションによって URL の分析情報を含むセキュリティ分析情報が生成されます。 デフォルトで有効になっています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、構成されたしきい値パラメータに基づいて不審と判断された URL についてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは無効にされています。 |
Max Comments To Return |
省略可。 アクションが各実行で取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 値は次のいずれかになります。
デフォルト値は |
Fetch Widget |
省略可。 選択すると、アクションは URL に関連するビジュアル サマリー ウィジェットを取得し、ケースウォールの出力に含めます。 デフォルトで有効になっています。 |
アクションの出力
[URL を拡充] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[URL を拡充] アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[URL を拡充] アクションでは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[URL を拡充] アクションは、コメントのあるエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
エンティティ拡充テーブル
次の表に、[URL を拡充] アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_title |
JSON の結果で利用可能な場合に適用されます。 |
VT3_last_http_response_code |
JSON の結果で利用可能な場合に適用されます。 |
VT3_last_http_response_content_length |
JSON の結果で利用可能な場合に適用されます。 |
VT3_threat_names |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、[URL を拡充] アクションを使用したときに受信した JSON 結果の出力です。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[URL を拡充] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[URL を拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
ドメインの詳細を取得する
[ドメインの詳細を取得] アクションを使用して、VirusTotal の情報を使用してドメインの詳細情報を取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainHostnameURL
アクション入力
[Get Domain Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとしてフラグを設定する必要があるエンジンの最小割合(
|
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Retrieve Comments |
省略可。 選択すると、アクションはドメインに関連付けられたコメントを VirusTotal から取得します。 デフォルトで有効になっています。 |
Create Insight |
省略可。 選択すると、アクションによってドメインの分析情報を含むセキュリティ インサイトが生成されます。 デフォルトで有効になっています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、構成されたしきい値パラメータに基づいて不審と判断されたエンティティに関する分析情報のみがアクションによって生成されます。 このパラメータは、 デフォルトでは無効にされています。 |
Max Comments To Return |
省略可。 アクションが実行ごとにドメインから取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 値は次のいずれかになります。
デフォルト値は |
Fetch Widget |
省略可。 選択すると、アクションはドメインに関連するビジュアル サマリー ウィジェットを取得し、ケースウォールの出力に含めます。 デフォルトで有効になっています。 |
アクションの出力
[Get Domain Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[ドメインの詳細を取得] アクションは、拡充されたエンティティごとに次のリンクを提供できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[Get Domain Details] アクションでは、拡充されたエンティティごとに次の表を取得できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[Get Domain Details] アクションは、コメントを含むエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
JSON の結果
次の例は、ドメインの詳細を取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[Get Domain Details] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Get Domain Details] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
グラフの詳細を取得する
VirusTotal のグラフに関する詳細情報を取得するには、[グラフの詳細を取得] アクションを使用します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[グラフの詳細を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Graph ID |
必須。 詳細を取得するグラフ ID のカンマ区切りのリスト。 |
Max Links To Return |
省略可。 グラフごとに返されるリンクの最大数。 デフォルト値は |
アクションの出力
[グラフの詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
[グラフの詳細を取得] アクションでは、拡充されたエンティティごとに次のテーブルを取得できます。
テーブル名: Graph ENTITY_ID Links
テーブルの列:
- ソース
- ターゲット
- 接続タイプ
JSON の結果
次の例は、[グラフの詳細を取得] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
出力メッセージ
[Get Graph Details] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
関連ドメインを取得する
関連ドメインを取得アクションを使用して、指定されたエンティティに関連するドメインを VirusTotal から取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
[関連ドメインを取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 返された JSON 結果の集計とグループ化に使用される構造。 値は次のいずれかになります。
デフォルト値は |
Max Domains To Return |
省略可。 返されるドメインの最大数。
デフォルト値は |
アクションの出力
[Get Related Domains] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連ドメインを取得アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"domain": ["example.com"]
}
出力メッセージ
[関連ドメインを取得] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、関連ドメインを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
関連するハッシュを取得する
関連するハッシュを取得アクションを使用して、指定されたエンティティに関連するハッシュを VirusTotal から取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
[Get Related Hashes] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 返された JSON 結果の集計とグループ化に使用される構造。 値は次のいずれかになります。
デフォルト値は |
Max Hashes To Return |
省略可。 返すファイル ハッシュの最大数。
デフォルト値は |
アクションの出力
[Get Related Hashes] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連するハッシュを取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"sha256_hashes": ["http://example.com"]
}
出力メッセージ
[関連するハッシュを取得] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連するハッシュを取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
関連する IP を取得する
関連する IP を取得アクションを使用して、指定されたエンティティに関連する IP アドレスを VirusTotal から取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameURL
アクション入力
[関連する IP を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 返された JSON 結果の集計とグループ化に使用される構造。 値は次のいずれかになります。
デフォルト値は |
Max IPs To Return |
省略可。 返す IP アドレスの最大数。
デフォルト値は |
アクションの出力
[Get Related IPs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連 IP を取得アクションを使用した場合に受信する JSON 結果の出力例を示しています。
{
"ips": ["203.0.113.1"]
}
出力メッセージ
[Get Related IPs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連する IP を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
関連 URL を取得する
関連 URL を取得アクションを使用して、指定されたエンティティに関連する URL を VirusTotal から取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressURL
アクション入力
[関連 URL を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 返された JSON 結果の集計とグループ化に使用される構造。 値は次のいずれかになります。
デフォルト値は |
Max URLs To Return |
省略可。 返す URL の最大数。
デフォルト値は |
アクションの出力
[関連 URL を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[関連 URL を取得] アクションを使用したときに受信した JSON 結果の出力です。
{
"urls": ["http://example.com"]
}
出力メッセージ
[関連 URL を取得] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連 URL を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
Ping
Ping アクションを使用して、VirusTotal への接続をテストします。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
なし
アクションの出力
Ping アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
エンティティ グラフを検索する
[エンティティ グラフを検索] アクションを使用して、VirusTotal のエンティティに基づいてグラフを検索します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
DomainFile HashHostnameIP AddressThreat ActorURLUser
アクション入力
[Search Entity Graphs] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Sort Field |
省略可。 返された VirusTotal グラフの順序とシーケンスに使用されるフィールド。 値は次のいずれかになります。
デフォルト値は |
Max Graphs To Return |
省略可。 返すグラフの最大数。 デフォルト値は |
アクションの出力
[Search Entity Graphs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[エンティティ グラフを検索] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
出力メッセージ
[Search Entity Graphs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
グラフの検索
グラフを検索アクションを使用して、VirusTotal のカスタム フィルタに基づいてグラフを検索します。
このアクションは Google SecOps エンティティに対して実行されません。
| パラメータ | 説明 |
|---|---|
Query |
必須。 グラフのクエリフィルタ。 |
Sort Field |
省略可。 返された VirusTotal グラフの順序とシーケンスに使用されるフィールド。 値は次のいずれかになります。
デフォルト値は |
Max Graphs To Return |
省略可。 返すグラフの最大数。 デフォルト値は |
クエリを作成する方法
グラフの検索結果を絞り込むには、グラフ関連の修飾子を含むクエリを作成します。検索を改善するには、修飾子を AND、OR、NOT 演算子と組み合わせます。
日付フィールドと数値フィールドでは、プラス(+)またはマイナス(-)の接尾辞がサポートされています。プラス記号の接尾辞は、指定された値より大きい値に一致します。マイナス接尾辞は、指定された値より小さい値に一致します。接尾辞がない場合、クエリは完全一致を返します。
範囲を定義するには、クエリで同じ修飾子を複数回使用できます。たとえば、2018 年 11 月 15 日から 2018 年 11 月 20 日の間に作成されたグラフを検索するには、次のクエリを使用します。
creation_date:2018-11-15+ creation_date:2018-11-20-
0 で始まる日付または月については、クエリ内の 0 文字を削除します。たとえば、2018 年 11 月 1 日は 2018-11-1 と記述します。
グラフ関連の修飾子
次の表に、検索クエリの作成に使用できる修飾子を示します。
| 修飾子 | 説明 | 例 |
|---|---|---|
Id |
グラフ識別子でフィルタします。 | id:g675a2fd4c8834e288af |
Name |
グラフ名でフィルタします。 | name:Example-name |
Owner |
ユーザーが所有するグラフでフィルタします。 | owner:example_user |
Group |
グループが所有するグラフでフィルタします。 | group:example |
Visible_to_user |
ユーザーに表示されるグラフでフィルタします。 | visible_to_user:example_user |
Visible_to_group |
グループに表示されるグラフでフィルタします。 | visible_to_group:example |
Private |
非公開グラフでフィルタします。 | private:true、private:false |
Creation_date |
グラフの作成日でフィルタします。 | creation_date:2018-11-15 |
last_modified_date |
グラフの最新の変更日でフィルタします。 | last_modified_date:2018-11-20 |
Total_nodes |
特定の数のノードを含むグラフでフィルタします。 | total_nodes:100 |
Comments_count |
グラフ内のコメント数でフィルタします。 | comments_count:10+ |
Views_count |
グラフの閲覧数でフィルタします。 | views_count:1000+ |
Label |
特定のラベルを持つノードを含むグラフでフィルタします。 | label:Kill switch |
File |
特定のファイルを含むグラフでフィルタします。 | file:131f95c51cc819465fa17 |
Domain |
特定のドメインを含むグラフでフィルタします。 | domain:example.com |
Ip_address |
特定の IP アドレスを含むグラフでフィルタします。 | ip_address:203.0.113.1 |
Url |
特定の URL を含むグラフでフィルタします。 | url:https://example.com/example/ |
Actor |
特定の俳優を含むグラフでフィルタします。 | actor:example actor |
Victim |
特定の被害者が含まれるグラフでフィルタします。 | victim:example_user |
Email |
特定のメールアドレスを含むグラフでフィルタします。 | email:user@example.com |
Department |
特定の部門を含むグラフでフィルタします。 | department:engineers |
アクションの出力
[グラフを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[グラフを検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
出力メッセージ
[グラフを検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフを検索アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
IOC を検索する
[IOC を検索] アクションを使用して、VirusTotal データセットで IOC を検索します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[IOC を検索] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
必須。 データセット内の IOC をフィルタして検索するために使用されるクエリ文字列。 クエリを構成するには、VirusTotal Intelligence ユーザー インターフェースに適用されるクエリ構文に従います。 デフォルト値は |
Create Entities |
省略可。 選択すると、アクションによって返された IOC のエンティティが作成されます。 このアクションではエンティティは拡充されません。 デフォルトでは無効にされています。 |
Order By |
必須。 返された結果の主な並べ替え条件を決定するために使用されるフィールド。 エンティティ タイプごとに異なる順序フィールドを設定できます。VirusTotal でファイルを検索する方法については、高度なコーパス検索をご覧ください。 値は次のいずれかになります。
デフォルト値は |
Sort Order |
省略可。 結果の並べ替え順序。 値は次のいずれかになります。
デフォルト値は |
Max IOCs To Return |
省略可。 返される IoC の最大数。 最大値は デフォルト値は |
アクションの出力
[IOC を検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[IOC を検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
出力メッセージ
[IOC を検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[IOC を検索] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
ファイルの送信
Submit File アクションを使用してファイルを送信し、VirusTotal から結果を返します。
このアクションは Google SecOps エンティティに対して実行されません。
アクション入力
[Submit File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
File Paths |
必須。 送信するローカル サーバーまたはリモート サーバー上の絶対ファイルパスのカンマ区切りリスト。
|
Engine Threshold |
省略可。 ファイルが不審と見なされるために、ファイルに悪意のあるファイルまたは不審なファイルとしてフラグを設定する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 ファイルが不審と見なされるために、悪意があるか不審であるとフラグを設定する必要があるエンジンの最小割合(
|
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Retrieve Comments |
省略可。 選択すると、アクションはファイルに関連付けられたコメントを VirusTotal から取得します。
デフォルトで有効になっています。 |
Retrieve Sigma Analysis |
省略可。 選択すると、アクションによってファイルの Sigma 分析結果が取得されます。 デフォルトで有効になっています。 |
Max Comments To Return |
省略可。 アクションが各実行で取得するコメントの最大数。 デフォルト値は |
Linux Server Address |
省略可。 リモート Linux サーバー上のソースファイルのネットワークの場所(IP アドレスまたはホスト名)。 |
Linux Username |
省略可。 リモート Linux サーバーの認証ユーザー名。 |
Linux Password |
省略可。 リモート Linux サーバーの認証パスワード。 |
Private Submission |
省略可。 選択すると、アクションによってファイルが非公開で送信されます。 ファイルを非公開で送信するには、VirusTotal Premium へのアクセスが必要です。 デフォルトでは無効にされています。 |
Fetch MITRE Details |
省略可。 選択すると、ハッシュに関連する MITRE ATT&CK の手法と戦術が取得されます。 デフォルトでは無効にされています。 |
Lowest MITRE Technique Severity |
省略可。 結果に含める MITRE ATT&CK 手法の最小重大度レベル。 このアクションでは、 値は次のいずれかになります。
デフォルト値は |
Retrieve AI Summary |
省略可。 選択すると、アクションによってファイルの AI 生成の要約が取得されます。 このオプションは、非公開の送信でのみ使用できます。 このパラメータは試験運用版です。 デフォルトでは無効にされています。 |
アクションの出力
[Submit File] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[Submit File] アクションは、次のリンクを返すことができます。
名前: レポートのリンク: PATH
値: URL
ケースウォール テーブル
[Submit File] アクションでは、送信されたファイルごとに次の表を提供できます。
テーブル名: 結果: PATH
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[Submit File](ファイルを送信)アクションでは、コメント付きの送信済みファイルごとに次の表を提供できます。
テーブル名: Comments: PATH
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
[Submit File] アクションでは、Sigma 分析結果を含むエンティティごとに次の表を指定できます。
テーブル名: Sigma 分析: ENTITY_ID
テーブルの列:
- ID
- 重大度
- ソース
- タイトル
- 説明
- 試合のコンテキスト
JSON の結果
次の例は、[Submit File] アクションを使用した場合に受信される JSON 結果の出力です。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[Submit File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Submit File] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
true または false |
コネクタ
Google SecOps でコネクタを構成する方法については、データを取り込む(コネクタ)をご覧ください。
VirusTotal - Livehunt コネクタ
VirusTotal - Livehunt コネクタを使用して、VirusTotal Livehunt 通知と関連ファイルに関する情報を取得します。
コネクタルール
VirusTotal - Livehunt コネクタはプロキシをサポートしています。
コネクタの入力
VirusTotal - Livehunt Connector には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Key |
必須。 VirusTotal API キー。 |
Engine Percentage Threshold To Fetch |
必須。 コネクタがファイルを取り込むために、ファイルを悪意のあるファイルまたは不審なファイルとしてフラグを設定する必要があるセキュリティ エンジン( デフォルト値は |
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 この計算では、エンティティ情報を提供しないエンジンは除外されます。 値が指定されていない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドがない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
Event Field Name |
必須。 イベント名(サブタイプ)を特定するフィールドの名前。 デフォルト値は |
Max Hours Backwards |
省略可。 アラートを取得するルックバック時間数。 このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 デフォルト値は |
Max Notifications To Fetch |
省略可。 コネクタの実行ごとに処理する通知の最大数。 デフォルト値は |
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値はコードから参照されるフォールバック値に解決されます。このパラメータの無効な入力は、デフォルトでフォールバック値に解決されます。 デフォルト値は |
Proxy Password |
省略可。 プロキシ サーバーの認証に使用するパスワード。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 プロキシ サーバーの認証に使用するユーザー名。 |
PythonProcessTimeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
Use dynamic list as a blacklist |
省略可。 選択すると、コネクタは動的リストを拒否リストとして使用します。 デフォルトでは無効にされています。 |
Verify SSL |
省略可。 選択すると、VirusTotal サーバーに接続するときに SSL 証明書が検証されます。 デフォルトで有効になっています。 |
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。