VirusTotal v3 in Google SecOps einbinden
Integrationsversion: 37.0
In diesem Dokument wird beschrieben, wie Sie VirusTotal v3 in Google Security Operations (Google SecOps) einbinden.
Anwendungsfälle
Bei der VirusTotal v3-Integration werden die Google SecOps-Funktionen verwendet, um die folgenden Anwendungsfälle zu unterstützen:
Dateianalyse: Sie können einen Dateihash oder eine Datei zur Analyse an VirusTotal senden und Scanergebnisse von mehreren Antivirenprogrammen abrufen, um festzustellen, ob das gesendete Element schädlich ist.
URL-Analyse: Eine URL wird mit der VirusTotal-Datenbank abgeglichen, um potenziell schädliche Websites oder Phishing-Seiten zu identifizieren.
IP-Adressanalyse: Untersuchen Sie eine IP-Adresse und ermitteln Sie ihren Ruf und alle damit verbundenen schädlichen Aktivitäten.
Domainanalyse: Analysieren Sie einen Domainnamen, um seinen Ruf und alle damit verbundenen schädlichen Aktivitäten wie Phishing oder die Verteilung von Malware zu ermitteln.
Retrohunting: Durchsuchen Sie die Verlaufsdaten von VirusTotal nach Dateien, URLs, IPs oder Domains, die zuvor als schädlich gekennzeichnet wurden.
Automatisierte Anreicherung: Vorfalldaten werden automatisch mit Informationen zu Bedrohungen angereichert.
Phishing-Untersuchung: Analysieren Sie verdächtige E‑Mails und Anhänge, indem Sie sie zur Analyse an VirusTotal senden.
Malware-Analyse: Laden Sie Malware-Beispiele in VirusTotal hoch, um sie dynamisch und statisch zu analysieren und Informationen zum Verhalten und zu den potenziellen Auswirkungen der Beispiele zu erhalten.
Hinweise
Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie Folgendes haben:
VirusTotal Premium API:Für diese Integration ist ein VirusTotal Premium API-Abo erforderlich.
Weitere Informationen zu den Unterschieden zwischen den API-Stufen finden Sie unter Öffentliche und Premium-API.
API-Schlüssel:Sie müssen einen VirusTotal-API-Schlüssel konfigurieren, bevor Sie die Integrationsinstanz in Google SecOps einrichten.
VirusTotal-API-Schlüssel konfigurieren
Bevor Sie die VirusTotal v3-Integration in Google SecOps konfigurieren, müssen Sie Ihren API-Schlüssel abrufen und kopieren:
Melden Sie sich im VirusTotal-Portal an.
Rufen Sie Ihre Kontoeinstellungen auf und klicken Sie unter Ihrem Nutzernamen oder Profil auf API-Schlüssel.
Kopieren Sie den generierten API-Schlüssel. Mit diesem Schlüssel wird der
API Key-Integrationsparameter ausgefüllt.
Integrationsparameter
Für die VirusTotal v3-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Key |
Erforderlich. Der VirusTotal API-Schlüssel. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum VirusTotal v3-Server validiert. Standardmäßig aktiviert. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Ausstehende Aktionen in „Mein Arbeitsbereich“ beantworten und Manuelle Aktion ausführen.
Kommentar zu Entität hinzufügen
Mit der Aktion Add Comment To Entity (Kommentar zu Entität hinzufügen) können Sie Entitäten in VirusTotal einen Kommentar hinzufügen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Kommentar zu Entität hinzufügen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Comment |
Erforderlich. Der Kommentar, der den Einheiten hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Add Comment To Entity (Kommentar zu Entität hinzufügen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
In den folgenden Beispielen sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) empfangen werden:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabenachrichten
Die Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Comment To Entity verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Entität eine Stimme geben
Mit der Aktion Add Vote To Entity (Stimme für Entität hinzufügen) können Sie Entitäten in VirusTotal eine Stimme hinzufügen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Add Vote To Entity sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Vote |
Erforderlich. Die Stimme, die dem Ruf der Entität zugewiesen werden soll. Folgende Werte sind möglich:
|
Aktionsausgaben
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ausgabe, die bei Verwendung der Aktion Add Vote To Entity (Stimme für Rechtssubjekt hinzufügen) zurückgegeben wird:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabenachrichten
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Vote To Entity verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Datei herunterladen
Mit der Aktion Datei herunterladen können Sie eine Datei von VirusTotal herunterladen.
Diese Aktion wird für die Google SecOps-Entität File Hash ausgeführt.
Aktionseingaben
Für die Aktion Datei herunterladen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Download Folder Path |
Erforderlich. Der Pfad zum Ordner, in dem die heruntergeladenen Dateien gespeichert werden. |
Overwrite |
Optional. Wenn diese Option ausgewählt ist, wird jede vorhandene Datei mit demselben Namen wie die neue, heruntergeladene Datei ersetzt. Standardmäßig aktiviert. |
Aktionsausgaben
Die Aktion Datei herunterladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Datei herunterladen empfangen wird:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Ausgabenachrichten
Die Aktion Datei herunterladen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Download File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Hash anreichern
Mit der Aktion Hash anreichern können Sie Hashes mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-Entität File Hash ausgeführt.
Aktionseingaben
Für die Aktion Hash anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig kennzeichnen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz (von Wenn Sie Wenn Sie sowohl |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Resubmit Hash |
Optional. Wenn diese Option ausgewählt ist, wird der Hash noch einmal zur Analyse eingereicht, anstatt vorhandene Ergebnisse zu verwenden. Standardmäßig deaktiviert. |
Resubmit After (Days) |
Optional. Die Mindestanzahl an Tagen, die seit der letzten Analyse vergangen sein müssen, bevor der Hash noch einmal eingereicht wird. Dieser Parameter gilt nur, wenn Sie den Parameter Der Standardwert ist |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden die mit dem Hash verknüpften Kommentare von VirusTotal abgerufen. Standardmäßig aktiviert. |
Retrieve Sigma Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion die Sigma-Analyseergebnisse für den Hash ab. Standardmäßig ausgewählt. |
Sandbox |
Optional. Eine durch Kommas getrennte Liste von Sandbox-Umgebungen, die für die Verhaltensanalyse verwendet werden sollen. Wenn Sie keinen Wert festlegen, wird der Standardwert verwendet. Der Standardwert ist |
Retrieve Sandbox Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion Sandbox-Analyseergebnisse für den Hash ab und erstellt für jede angegebene Sandbox einen separaten Bereich in der JSON-Ausgabe. Standardmäßig ausgewählt. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Sicherheits-Insight mit den Analyseinformationen für den Hash generiert. Standardmäßig aktiviert. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Hashes, die anhand der konfigurierten Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Standardmäßig deaktiviert. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die bei jeder Ausführung abgerufen werden. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget mit der visuellen Zusammenfassung, das mit dem Hash verknüpft ist, abgerufen und in die Ausgabe des Fall‑Repositorys aufgenommen. Standardmäßig aktiviert. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion MITRE ATT&CK-Techniken und ‑Taktiken ab, die mit dem Hash zusammenhängen. Standardmäßig deaktiviert. |
Lowest MITRE Technique Severity |
Optional. Der Mindestschweregrad für eine MITRE-ATT&CK-Technik, die in die Ergebnisse aufgenommen werden soll. Bei der Aktion wird die Schwere des Fehlers Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion Hash anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Hash anreichern kann für jede angereicherte Einheit der folgende Link bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion Hash anreichern kann für jede angereicherte Entität die folgende Tabelle erstellt werden:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion Hash anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle erstellt werden:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Mit der Aktion Hash anreichern kann für jede Einheit, für die die Sigma-Analyseergebnisse vorliegen, die folgende Tabelle erstellt werden:
Tabellenname: Sigma-Analyse: ENTITY_ID
Tabellenspalten:
- ID
- Schweregrad
- Quelle
- Titel
- Beschreibung
- Kontext der Übereinstimmung
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion Hash anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_magic |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_md5 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_sha1 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_sha256 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_ssdeep |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tlsh |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_vhash |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_meaningful_name |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_magic |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Hash anreichern empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Ausgabenachrichten
Die Aktion Hash anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Hash anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
IOC anreichern
Verwenden Sie die Aktion IOC anreichern, um die Indicators of Compromise (IoCs) mit Informationen von VirusTotal anzureichern.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOC anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Type |
Optional. Der Typ des anzureichernden IoC. Der Standardwert ist Folgende Werte sind möglich:
|
IOCs |
Erforderlich. Eine durch Kommas getrennte Liste der zu erweiternden IoCs. |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget mit der visuellen Zusammenfassung, das sich auf den IoC bezieht, abgerufen und in die Ausgabe des Fall-Repositorys aufgenommen. Standardmäßig aktiviert. |
Aktionsausgaben
Die Aktion IOC anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion IOC anreichern kann für jede angereicherte Einheit den folgenden Link bereitstellen:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion IOC anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitstellen:
Tabellenname: IOC_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion IOC anreichern empfangen wird:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Ausgabenachrichten
Die Aktion IOC anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOC anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
IP anreichern
Mit der Aktion IP anreichern können Sie IP-Adressen mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-Entität IP Address ausgeführt.
Aktionseingaben
Für die Aktion IP anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig kennzeichnen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz (von Wenn Sie Wenn Sie sowohl |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden die mit der IP-Adresse verknüpften Kommentare von VirusTotal abgerufen. Standardmäßig aktiviert. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Sicherheits-Insight mit den Analyseinformationen für die IP-Adresse generiert. Standardmäßig aktiviert. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion nur Statistiken für IP-Adressen generiert, die basierend auf den konfigurierten Schwellenwertparametern als verdächtig eingestuft werden. Dieser Parameter gilt nur, wenn Standardmäßig deaktiviert. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die bei jeder Ausführung abgerufen werden. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget mit der visuellen Zusammenfassung, das mit der IP-Adresse verknüpft ist, abgerufen und in die Ausgabe des Fall-Repositorys aufgenommen. Standardmäßig aktiviert. |
Aktionsausgaben
Die Aktion IP anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion IP anreichern kann für jede angereicherte Einheit den folgenden Link bereitstellen:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion IP anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Die Aktion IP anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle bereitstellen:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion IP anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_owner |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_asn |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_continent |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_country |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_certificate_valid_not_after |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_certificate_valid_not_before |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion IP anreichern empfangen wird:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabenachrichten
Die Aktion IP anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IP anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
URL anreichern
Mit der Aktion URL anreichern können Sie eine URL mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-Entität URL ausgeführt.
Aktionseingaben
Für die Aktion URL anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig kennzeichnen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz (von Wenn Sie Wenn Sie sowohl |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Resubmit URL |
Optional. Wenn diese Option ausgewählt ist, wird die URL noch einmal zur Analyse eingereicht, anstatt vorhandene Ergebnisse zu verwenden. Standardmäßig deaktiviert. |
Resubmit After (Days) |
Optional. Die Mindestanzahl an Tagen, die seit der letzten Analyse vergangen sein müssen, bevor der Hash noch einmal eingereicht wird. Dieser Parameter gilt nur, wenn Sie den Parameter Der Standardwert ist |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden die mit der URL verknüpften Kommentare von VirusTotal abgerufen. Standardmäßig aktiviert. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Sicherheits-Insight mit den Analyseinformationen für die URL generiert. Standardmäßig aktiviert. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für URLs, die anhand der konfigurierten Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Standardmäßig deaktiviert. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die bei jeder Ausführung abgerufen werden. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget mit der visuellen Zusammenfassung, das mit der URL verknüpft ist, abgerufen und in die Ausgabe des Fall‑Repositorys aufgenommen. Standardmäßig aktiviert. |
Aktionsausgaben
Die Aktion URL anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion URL anreichern kann für jede angereicherte Einheit der folgende Link bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion URL anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion URL anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle bereitgestellt werden:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion URL anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_title |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_last_http_response_code |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_last_http_response_content_length |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_threat_names |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion URL anreichern empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabenachrichten
Die Aktion URL anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion URL anreichern verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Domaindetails abrufen
Mit der Aktion Get Domain Details (Domänendetails abrufen) können Sie detaillierte Informationen zur Domain mithilfe von Informationen von VirusTotal abrufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainHostnameURL
Aktionseingaben
Für die Aktion Get Domain Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig kennzeichnen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz (von Wenn Sie Wenn Sie sowohl |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden Kommentare, die mit der Domain verknüpft sind, von VirusTotal abgerufen. Standardmäßig aktiviert. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Sicherheits-Insight mit den Analyseinformationen für die Domain generiert. Standardmäßig aktiviert. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Entitäten, die anhand der konfigurierten Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Standardmäßig deaktiviert. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die bei jeder Ausführung für die Domain abgerufen werden. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Folgende Werte sind möglich:
Der Standardwert ist |
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget mit der visuellen Zusammenfassung, das mit der Domain verknüpft ist, abgerufen und in die Ausgabe des Fall-Repositorys aufgenommen. Standardmäßig aktiviert. |
Aktionsausgaben
Die Aktion Get Domain Details (Domaindetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Get Domain Details (Domaindetails abrufen) kann der folgende Link für jede angereicherte Entität bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion Get Domain Details kann für jede angereicherte Entität die folgende Tabelle bereitstellen:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion Get Domain Details (Domänendetails abrufen) kann für jede Einheit mit Kommentaren die folgende Tabelle bereitgestellt werden:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Domain Details (Domaindetails abrufen) empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabenachrichten
Die Aktion Get Domain Details (Domaindetails abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Domain Details (Domaindetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Diagrammdetails abrufen
Mit der Aktion Get Graph Details (Grafikdetails abrufen) können Sie detaillierte Informationen zu Grafiken in VirusTotal abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Graph-Details abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Graph ID |
Erforderlich. Eine durch Kommas getrennte Liste von Diagramm-IDs, für die Details abgerufen werden sollen. |
Max Links To Return |
Optional. Die maximale Anzahl der Links, die für jedes Diagramm zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Graph Details (Diagrammdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion Get Graph Details (Graph-Details abrufen) kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: Graph ENTITY_ID Links
Tabellenspalten:
- Quelle
- Ziel-
- Verbindungstyp
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get Graph Details (Diagrammdetails abrufen) empfangen wird:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Ausgabenachrichten
Die Aktion Get Graph Details (Grafikdetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Graph Details (Diagrammdetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zugehörige Domains abrufen
Mit der Aktion Get Related Domains (Zugehörige Domains abrufen) können Sie die Domains abrufen, die mit den bereitgestellten Einheiten von VirusTotal verknüpft sind.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related Domains sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Struktur, die zum Aggregieren und Gruppieren der zurückgegebenen JSON-Ergebnisse verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Domains To Return |
Optional. Die maximale Anzahl der zurückzugebenden Domains. Wenn Sie Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related Domains (Zugehörige Domains abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Domains (Zugehörige Domains abrufen) empfangen wird:
{
"domain": ["example.com"]
}
Ausgabenachrichten
Die Aktion Get Related Domains (Zugehörige Domains abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related Domains aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zugehörige Hashes abrufen
Mit der Aktion Get Related Hashes (Zugehörige Hashes abrufen) können Sie die Hashes, die mit den angegebenen Entitäten in VirusTotal verknüpft sind, abrufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related Hashes sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Struktur, die zum Aggregieren und Gruppieren der zurückgegebenen JSON-Ergebnisse verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Hashes To Return |
Optional. Die maximale Anzahl der zurückzugebenden Dateihashes. Wenn Sie Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related Hashes (Zugehörige Hashes abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Hashes (Zugehörige Hashes abrufen) empfangen wird:
{
"sha256_hashes": ["http://example.com"]
}
Ausgabenachrichten
Die Aktion Get Related Hashes (Zugehörige Hashes abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related Hashes (Zugehörige Hashes abrufen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zugehörige IPs abrufen
Verwenden Sie die Aktion Get Related IPs (Zugehörige IPs abrufen), um die IP-Adressen abzurufen, die mit den bereitgestellten Entitäten von VirusTotal verknüpft sind.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameURL
Aktionseingaben
Für die Aktion Get Related IPs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Struktur, die zum Aggregieren und Gruppieren der zurückgegebenen JSON-Ergebnisse verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max IPs To Return |
Optional. Die maximale Anzahl der zurückzugebenden IP-Adressen. Wenn Sie Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related IPs (Zugehörige IPs abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related IPs (Zugehörige IPs abrufen) empfangen wird:
{
"ips": ["203.0.113.1"]
}
Ausgabenachrichten
Die Aktion Get Related IPs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related IPs aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Zugehörige URLs abrufen
Mit der Aktion Get Related URLs (Zugehörige URLs abrufen) können Sie die URLs abrufen, die sich auf die angegebenen Entitäten von VirusTotal beziehen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related URLs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Struktur, die zum Aggregieren und Gruppieren der zurückgegebenen JSON-Ergebnisse verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max URLs To Return |
Optional. Die maximale Anzahl der zurückzugebenden URLs. Wenn Sie Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related URLs (Zugehörige URLs abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related URLs (Zugehörige URLs abrufen) empfangen wird:
{
"urls": ["http://example.com"]
}
Ausgabenachrichten
Die Aktion Get Related URLs kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Related URLs (Zugehörige URLs abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu VirusTotal zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabenachrichten
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Entitätsdiagramme durchsuchen
Mit der Aktion Search Entity Graphs (Entitätsdiagramme durchsuchen) können Sie Diagramme durchsuchen, die auf den Entitäten in VirusTotal basieren.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Aktionseingaben
Für die Aktion Search Entity Graphs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Sort Field |
Optional. Das Feld, das zum Sortieren und Anordnen der zurückgegebenen VirusTotal-Diagramme verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Graphs To Return |
Optional. Die maximale Anzahl der zurückzugebenden Grafiken. Der Standardwert ist |
Aktionsausgaben
Die Aktion Entity-Diagramme durchsuchen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Entity Graphs (Entitätsgraphen durchsuchen) empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Ausgabenachrichten
Die Aktion Search Entity Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Grafiken durchsuchen
Mit der Aktion Search Graphs können Sie in VirusTotal anhand benutzerdefinierter Filter nach Diagrammen suchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Der Abfragefilter für das Diagramm. Weitere Informationen zu Abfragen finden Sie unter Abfragen erstellen und Diagrammbezogene Modifikatoren. |
Sort Field |
Optional. Das Feld, das zum Sortieren und Anordnen der zurückgegebenen VirusTotal-Diagramme verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max Graphs To Return |
Optional. Die maximale Anzahl der zurückzugebenden Grafiken. Der Standardwert ist |
Abfragen erstellen
Wenn Sie die Suchergebnisse aus Grafiken eingrenzen möchten, erstellen Sie Abfragen, die grafikbezogene Modifizierer enthalten. Sie können Modifikatoren mit den Operatoren AND, OR und NOT kombinieren, um die Suche zu verbessern.
Datums- und numerische Felder unterstützen die Suffixe „plus“ (+) oder „minus“ (-). Ein Pluszeichen am Ende entspricht Werten, die größer als der angegebene Wert sind. Ein Minus-Suffix entspricht Werten, die kleiner als der angegebene Wert sind. Ohne Suffix werden bei der Abfrage genaue Übereinstimmungen zurückgegeben.
Sie können denselben Modifikator mehrmals in einer Abfrage verwenden, um Bereiche zu definieren. Wenn Sie beispielsweise nach Grafiken suchen möchten, die zwischen dem 15.11.2018 und dem 20.11.2018 erstellt wurden, verwenden Sie die folgende Abfrage:
creation_date:2018-11-15+ creation_date:2018-11-20-
Entfernen Sie bei Datumsangaben oder Monaten, die mit 0 beginnen, das Zeichen 0 in der Abfrage.
Formatieren Sie beispielsweise das Datum 2018-11-01 als 2018-11-1.
Diagrammbezogene Modifikatoren
In der folgenden Tabelle sind die Modifikatoren aufgeführt, die Sie zum Erstellen der Suchanfrage verwenden können:
| Modifizierer | Beschreibung | Beispiel |
|---|---|---|
Id |
Filtert nach der Diagramm-ID. | id:g675a2fd4c8834e288af |
Name |
Filtert nach dem Namen des Diagramms. | name:Example-name |
Owner |
Filtert nach Diagrammen, die dem Nutzer gehören. | owner:example_user |
Group |
Filtert nach Diagrammen, die einer Gruppe gehören. | group:example |
Visible_to_user |
Filtert nach Diagrammen, die für den Nutzer sichtbar sind. | visible_to_user:example_user |
Visible_to_group |
Filtert nach Diagrammen, die für die Gruppe sichtbar sind. | visible_to_group:example |
Private |
Filtert nach privaten Diagrammen. | private:true, private:false |
Creation_date |
Filtert nach dem Erstellungsdatum des Diagramms. | creation_date:2018-11-15 |
last_modified_date |
Filtert nach dem Datum der letzten Änderung des Diagramms. | last_modified_date:2018-11-20 |
Total_nodes |
Filtert nach Grafiken, die eine bestimmte Anzahl von Knoten enthalten. | total_nodes:100 |
Comments_count |
Filtert nach der Anzahl der Kommentare im Diagramm. | comments_count:10+ |
Views_count |
Filtert nach der Anzahl der Diagrammansichten. | views_count:1000+ |
Label |
Filtert nach Grafiken, die Knoten mit einem bestimmten Label enthalten. | label:Kill switch |
File |
Filtert nach Diagrammen, die die angegebene Datei enthalten. | file:131f95c51cc819465fa17 |
Domain |
Filtert nach Grafiken, die die angegebene Domain enthalten. | domain:example.com |
Ip_address |
Filtert nach Diagrammen, die die angegebene IP-Adresse enthalten. | ip_address:203.0.113.1 |
Url |
Filtert nach Grafiken, die die angegebene URL enthalten. | url:https://example.com/example/ |
Actor |
Filtert nach Grafiken, die den angegebenen Schauspieler enthalten. | actor:example actor |
Victim |
Filtert nach Grafiken, die das jeweilige Opfer enthalten. | victim:example_user |
Email |
Filtert nach Grafiken, die die angegebene E-Mail-Adresse enthalten. | email:user@example.com |
Department |
Filtert nach Grafiken, die die angegebene Abteilung enthalten. | department:engineers |
Aktionsausgaben
Die Aktion Suchdiagramme liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Graphs (Graphen durchsuchen) empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Ausgabenachrichten
Die Aktion Search Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search Graphs aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
IOCs suchen
Mit der Aktion Search IOCs (IOCs suchen) können Sie im VirusTotal-Dataset nach IOCs suchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOCs suchen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Der Abfragestring, der zum Filtern und Suchen nach IOCs im Dataset verwendet wird. Konfigurieren Sie die Abfrage gemäß der Abfragesyntax, die für die VirusTotal Intelligence-Benutzeroberfläche gilt. Der Standardwert ist |
Create Entities |
Optional. Wenn diese Option ausgewählt ist, werden Entitäten für die zurückgegebenen IOCs erstellt. Bei dieser Aktion werden keine Elemente angereichert. Standardmäßig deaktiviert. |
Order By |
Erforderlich. Das Feld, das verwendet wird, um das primäre Sortierkriterium für die zurückgegebenen Ergebnisse zu bestimmen. Entitätstypen können unterschiedliche Sortierfelder haben. Weitere Informationen zum Suchen nach Dateien in VirusTotal finden Sie unter Erweiterte Korpus-Suche. Folgende Werte sind möglich:
Der Standardwert ist |
Sort Order |
Optional. Die Sortierreihenfolge der Ergebnisse. Folgende Werte sind möglich:
Wenn Sie Der Standardwert ist |
Max IOCs To Return |
Optional. Die maximale Anzahl der zurückzugebenden IoCs. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion IOCs suchen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search IOCs (IOCs suchen) empfangen wird:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Ausgabenachrichten
Die Aktion IOCs suchen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search IOCs (IOCs suchen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Datei einreichen
Mit der Aktion Datei senden können Sie eine Datei senden und Ergebnisse von VirusTotal zurückgeben.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Datei einreichen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File Paths |
Erforderlich. Eine durch Kommas getrennte Liste der absoluten Dateipfade auf dem lokalen oder Remote-Server, die eingereicht werden sollen. Wenn Sie |
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Datei als schädlich oder verdächtig kennzeichnen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz (von Wenn Sie Wenn Sie sowohl |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion Kommentare ab, die mit der Datei von VirusTotal verknüpft sind. Kommentare werden nicht abgerufen, wenn Standardmäßig aktiviert. |
Retrieve Sigma Analysis |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion die Sigma-Analyseergebnisse für die Datei abgerufen. Standardmäßig aktiviert. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die bei jeder Ausführung abgerufen werden. Der Standardwert ist |
Linux Server Address |
Optional. Der Netzwerkspeicherort (IP-Adresse oder Hostname) der Quelldateien auf dem Remote-Linux-Server. |
Linux Username |
Optional. Der Authentifizierungsnutzername für den Remote-Linux-Server. |
Linux Password |
Optional. Das Authentifizierungspasswort für den Remote-Linux-Server. |
Private Submission |
Optional. Wenn diese Option ausgewählt ist, wird die Datei privat eingereicht. Um die Datei privat einzureichen, ist der VirusTotal Premium-Zugriff erforderlich. Standardmäßig deaktiviert. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion MITRE ATT&CK-Techniken und -Taktiken abgerufen, die mit dem Hash verknüpft sind. Standardmäßig deaktiviert. |
Lowest MITRE Technique Severity |
Optional. Der Mindestschweregrad für eine MITRE-ATT&CK-Technik, die in die Ergebnisse aufgenommen werden soll. Bei der Aktion wird Folgende Werte sind möglich:
Der Standardwert ist |
Retrieve AI Summary |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion eine KI-generierte Zusammenfassung für die Datei ab. Diese Option ist nur für private Einsendungen verfügbar. Dieser Parameter wird derzeit noch getestet. Standardmäßig deaktiviert. |
Aktionsausgaben
Die Aktion Datei einreichen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabenachrichten | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion Datei einreichen kann die folgenden Links zurückgeben:
Name: Berichtlink: PATH
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion Datei einreichen kann für jede eingereichte Datei die folgende Tabelle erstellt werden:
Tabellenname: Ergebnisse: PATH
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Die Aktion Datei einreichen kann für jede eingereichte Datei mit Kommentaren die folgende Tabelle bereitstellen:
Tabellenname: Kommentare: PATH
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Mit der Aktion Datei einreichen kann für jede Einheit, für die Sigma-Analyseergebnisse vorliegen, die folgende Tabelle bereitgestellt werden:
Tabellenname: Sigma-Analyse: ENTITY_ID
Tabellenspalten:
- ID
- Schweregrad
- Quelle
- Titel
- Beschreibung
- Kontext der Übereinstimmung
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Datei einreichen empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabenachrichten
Die Aktion Datei einreichen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde erfolgreich ausgeführt. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei senden verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
true oder false |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
VirusTotal – Livehunt Connector
Mit dem VirusTotal – Livehunt Connector können Sie Informationen zu VirusTotal Livehunt-Benachrichtigungen und zugehörigen Dateien abrufen.
Connector-Regeln
Der VirusTotal – Livehunt Connector unterstützt Proxys.
Connector-Eingaben
Für den VirusTotal – Livehunt Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Key |
Erforderlich. Der VirusTotal API-Schlüssel. |
Engine Percentage Threshold To Fetch |
Erforderlich. Der Mindestprozentsatz der Sicherheits-Engines ( Der Standardwert ist |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Bei der Berechnung werden Engines ausgeschlossen, die keine Informationen zu Entitäten liefern. Wenn kein Wert angegeben ist, werden alle verfügbaren Engines verwendet. |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ fehlt, wird der Standardwert verwendet. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
Event Field Name |
Erforderlich. Der Name des Felds, das den Ereignisnamen (Untertyp) bestimmt. Der Standardwert ist |
Max Hours Backwards |
Optional. Die Anzahl der Stunden, die zurückgeblickt werden soll, um Benachrichtigungen abzurufen. Dieser Parameter kann für die erste Connector-Iteration nach der erstmaligen Aktivierung des Connectors oder als Fallback-Wert für einen abgelaufenen Connector-Zeitstempel gelten. Der Standardwert ist |
Max Notifications To Fetch |
Optional. Die maximale Anzahl von Benachrichtigungen, die bei jeder Connector-Ausführung verarbeitet werden sollen. Der Standardwert ist |
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert in einen Fallback-Wert aufgelöst, auf den im Code verwiesen wird. Ungültige Eingaben für diesen Parameter werden standardmäßig in einen Fallback-Wert aufgelöst. Der Standardwert ist |
Proxy Password |
Optional. Das Passwort für die Authentifizierung des Proxyservers. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Nutzername für die Authentifizierung beim Proxyserver. |
PythonProcessTimeout |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
Use dynamic list as a blacklist |
Optional. Wenn diese Option ausgewählt ist, verwendet der Connector die dynamische Liste als Sperrliste. Standardmäßig deaktiviert. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zum VirusTotal-Server validiert. Standardmäßig aktiviert. |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten